73 في المائة من تطبيقات التجزئة تحتوي على عيوب أمنية، ولكن ربعها فقط يتم إصلاحه

بورلينغتون، ماساتشوستس: كشفت اليوم شركة “فيراكود“، وهي مزوّد عالمي رائد لحلول اختبار أمن التطبيقات الحديثة، أن نحو ثلاثة أرباع التطبيقات في قطاع التجزئة والضيافة تحتوي على عيوب أمنية، ولكن 25 في المائة منها يتم إصلاحها. وإضافةً إلى ذلك، تُصنّف 17 بالمائة من هذه العيوب على أنها “شديدة الخطورة”، ما يعني أنها تشكل خطراً جسيماً على الشركة في حال استغلالها. وبما أنّ 76 بالمائة من الأمريكيين يخططون للتسوق خلال تخفيضات الجمعة السوداء في 25 نوفمبر* – و56 بالمائة يخططون للشراء بالكامل عبر الإنترنت** – فيجب على تجار التجزئة بذل جهد أكبر لتعزيز أمن أنظمة التجارة الإلكترونية ومنصات الدفع الرقمية وسلاسل التوريد الخاصة بهم.

ونُشرت هذه البيانات في تقرير حالة أمن البرمجيات السنوي للشركة بنسخته الـ12، الذي حلل 20 مليون عملية مسح لنصف مليون تطبيق في قطاعات الرعاية التجزئة والتصنيع والرعاية الصحية والخدمات المالية والتكنولوجيا والقطاعات الحكومية.

73 Percent of Retail Applications Contain Security Flaws, but Only a Quarter Are Fixed

وقال كريس إنج، الرئيس التنفيذي لشؤون الأبحاث في شركة “فيراكود”: “إن الحفاظ على ولاء المستهلكين وثقتهم هو مسؤولية التجار الأولى، وسيبرز ذلك طوال موسم الجمعة السوداء. وفي حين يكلّف اختراق بيانات قطاع التجزئة وسطياً 3.28 مليون دولار أمريكي***، فإن إنشاء أدوات وإجراءات شاملة لحماية التطبيقات التي يستخدمها العملاء للتصفح وإجراء عمليات الشراء هو أمر بالغ الأهمية”.

وتابع إنج قائلاً: “على الرغم من انخفاض عدد العيوب التي تم حلها نسبياً، فإن قطاع التجزئة يحتل المرتبة الثانية من حيث إجمالي معدل الإصلاح. ويدل ذلك على حاجة المؤسسات في مختلف القطاعات إلى إجراء تحسينات على أمن البرمجيات. ومقارنة بقطاعات أخرى، فإنّ قطاع التجزئة أفضل في إصلاح الأعطال بمجرد اكتشافها. وعلى الرغم من إيجابية هذه البيانات، فمن الواضح ضرورة بذل المزيد من الجهود لدمج اكتشاف العيوب ومعالجتها في مجموعة منتجات تطوير البرمجيات بغرض معالجة الثغرات الأمنية بكفاءة أكبر”.

وتتضمن أكثر أنواع عيوب التطبيقات شيوعاً في معظم القطاعات، إعدادات المخدمات والتبعيات غير الآمنة ومشكلات المصادقة. ويتبع قطاع التجزئة والضيافة نمطاً مشابهاً. ومع ذلك، يمتاز القطاع بنسب أعلى في كل فئة من فئات العيوب تقريباً – وقد يُعزى ذلك إلى التعقيد الوظيفي الأكبر للتطبيقات الموجّهة للعملاء وتطبيقات المكتب الخلفي.

تقلب أوقات إصلاح العيوب البرمجية في قطاع التجزئة

حلّلت “فيراكود” ثلاثة أنواع مختلفة من عمليات المسح لإنشاء مقارنات لأوقات الإصلاح في القطاع وهي: اختبار أمن التحليل الديناميكي (دي إيه إس تي)، واختبار أمن التحليل الثابت (إس إيه إس تي)، وتحليل تكوين البرمجيات (إس سي إيه). وتوصّلنا إلى أنّ تجار التجزئة كانوا الأسرع في معالجة العيوب المكتشفة باختبار أمن التحليل الديناميكي، حيث استغرقوا 70 يوماً للوصول إلى نقطة المنتصف، أي أسرع بـ46 يوماً من قطاع الخدمات المالية الذي حلّ بالمركز الثاني. ومع ذلك، عندما يتعلق الأمر باختبار أمن التحليل الثابت وتحليل تكوين البرمجيات، انخفض ترتيب قطاع التجزئة إلى منتصف الحزمة، حيث استغرق 346 يوماً و470 يوماً على التوالي للوصول إلى منتصف نقطة الإصلاح.

وفي جميع القطاعات، تبقى العيوب في مكتبات الطرف الثالث المكتشفة من خلال اختبار تحليل تكوين البرمجيات لفترة أطول مقارنةً بالعيوب المكتشفة من خلال اختبار أمن التحليل الثابت واختبار أمن التحليل الديناميكي، فيما تبقى 30 بالمائة من المكتبات المعرضة للمخاطر دون حل بعد عامين. وفي قطاع التجزئة، ارتفعت هذه الإحصائية إلى 35 في المائة وتأخرت عن المتوسط عبر القطاعات بأكثر من ستة أشهر. ومع ذلك، فيجب أن يطمئن تجار التجزئة إلى أن الفجوة ليست واسعة جداً وما يزال ردمها ممكناً. ووجد تقرير في تقرير حالة أمن البرمجيات السنوي من “فيراكود” لعام 2021 أن 92 بالمائة من عيوب المصادر المفتوحة يمكن إصلاحها بسهولة من خلال تحديث بسيط، وهو خبر سار لتجار التجزئة الذين يتطلعون إلى تأمين سلاسل توريد البرمجيات الخاصة بهم.

في الفترة التي تسبق تخفيضات الجمعة السوداء، ومع مضي نحو عام واحد منذ الإبلاغ عن ثغرة “لوغ4جيه” سيئة السمعة لأول مرة، سيكون تجار التجزئة في حالة تأهب قصوى للحفاظ على سرعة وكفاءة وأمن تطبيقاتهم. ويجب على الشركات بذل مزيد من الجهود للكشف عن نقاط الضعف في برمجيات الطرف الثالث باستخدام مزيج من اختبارات تحليل تكوين البرمجيات وأدوات التطوير. وباستخدام هذا النهج بالتعاون مع “فيراكود”، تمكن داريوس رادفورد، مهندس أمن التطبيقات في متجر التجزئة المتخصص “فولر آند ديكور”، اكتساب معلومات شاملة حول المخاطر التي تشكلها المكتبات المعرّضة للخطر في برمجيات الشركة، وقال: “أمكننا اكتشاف جميع المواقع التي تنشط فيها ثغرة ’لوغ4جيه‘ بسرعة وإصلاح الوضع”. وأضاف تري تانيل، الرئيس التنفيذي لأمن المعلومات في “فولر آند ديكور” قائلاً: “إنّ عملاءنا هم أولويتنا القصوى. فنحن على يقين أن برمجياتنا آمنة مع ’فيراكود‘،وأن عملائنا يثقون في بأمن برمجياتنا”.

ويمكنكم تنزيل لمحة عن تقرير حالة أمن البرمجيات في قطاع التجزئة والضيافة من “فيراكود” بنسخته الـ12 هنا، والتقرير الكامل هنا.

* “فيوتشر بابليشينج”، “استكشاف تأثير ارتفاع التضخم”، يونيو 2022، https://go.future-advertising.com/Rising-Inflation-Research-Insights.html

** “دوت ديجيتال”، “إحصاءات الجمعة السوداء: كل ما تحتاج إلى معرفته (محدّث عام 2022)، جينا باتون، 20 سبتمبر 2022، https://dotdigital.com/blog/black-friday-cyber-monday-stats/

*** آي بي إم سيكيوريتي” و”ذا فونيمون إنستيتيوت”، “تقرير تكلفة اختراق البيانات 2022″، يوليو 2022، https://www.ibm.com/downloads/cas/3R8N1DZJ

لمحة عن تقرير حالة أمن البرمجيات

حلّل تقرير حالة أمن البرمجيات من “فيراكود” بنسخته الـ12 البيانات التاريخية الكاملة من خدمات وعملاء “فيراكود”. وتمثل هذه البيانات إجمالي أكثر من نصف مليون تطبيق (592,720) استخدم جميع أنواع المسح، وأكثر من مليون عملية مسح للتحليل الديناميكي (1,034,855)، وأكثر من خمسة ملايين عملية مسح للتحليل الثابت (5,137,882) وأكثر من 18 مليون مسح لتحليل تكوين البرمجيات (18,473,203). وأنتجت كل عمليات المسح 42 مليون نتيجة ثابتة أولية، و3.5 مليون نتيجة ديناميكية أولية، وستة ملايين نتيجة تحليل تكوين برمجيات أولية.

وتمثل البيانات الشركات الكبيرة والصغيرة وموردي البرمجيات التجارية ومتعاقدي البرمجيات الخارجيين والمشاريع مفتوحة المصدر. وفي معظم التحليلات، تم احتساب التطبيق مرة واحدة فقط، حتى لو تم إرساله عدة مرات إلى المكان الذي تمت فيه معالجة الثغرات الأمنية وتحميل إصدارات جديدة.