Większość aplikacji do handlu detalicznego posiada luki w zabezpieczeniach
Niemal trzy czwarte aplikacji używanych w sektorze handlu detalicznego oraz hotelarstwie posiada luki w zabezpieczeniach. Niestety, tylko jedna czwarta z nich jest naprawiana – ostrzega firma Veracode w raporcie „State of Software Security”.
Wielu konsumentów robi zakupy w sklepach internetowych oraz rezerwuje noclegi za pośrednictwem platform online. Jednak aplikacje, z których korzystają internauci bardzo często posiadają poważne luki w zabezpieczeniach. W raporcie „State of Software Security” aż 17 proc. tych luk oznaczano jako „wysoce dotkliwe”, co oznacza, że stanowią bardzo poważne zagrożenie dla firm.
– Utrzymanie lojalności i zaufania klientów jest priorytetem numer jeden dla sprzedawców detalicznych. Przy średnim koszcie naruszenia danych w sektorze detalicznym obliczonym na 3,28 miliona dolarów, wdrożenie niezawodnych narzędzi i praktyk w celu zabezpieczenia aplikacji używanych przez klientów do przeglądania i robienia zakupów stało się koniecznością – tłumaczy Chris Eng, dyrektor ds. badań w Veracode.
Ciekawostką jest fakt, iż pomimo stosunkowo niewielkiej liczby instalowanych poprawek, branża handlu detalicznego zajmuje drugie miejsce pod względem ogólnego wskaźnika dotyczącego zabezpieczania luk.
– Konfiguracja serwera, niezabezpieczone zależności i problemy z uwierzytelnianiem to najczęstsze rodzaje wad aplikacji w większości branż. W sektorze detalicznym i hotelarskim wygląda to bardzo podobnie. Bardzo ważną kwestią jest nadanie priorytetu lukom, jest to bardziej efektywne niż zwiększenie zdolność firmy do łatania dziur. Wynika to z faktu, iż nie wszystkie podatności stanowią wysokie ryzyko dla organizacji – zauważa Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender.
Veracode przeanalizował trzy różne typy skanowania w celu wygenerowania branżowych porównań czasów naprawy: dynamiczna analiza testów bezpieczeństwa (DAST), analiza statyczna testów bezpieczeństwa (SAST) i analiza składu oprogramowania (SCA). Stwierdzono, że sprzedawcy detaliczni najszybciej zajęli się wadami wykrytymi przez DAST, osiągając półmetek w 70 dni, czyli 46 dni szybciej niż usługi finansowe. Jednak jeśli chodzi o SAST i SCA, sektor detaliczny znalazł się w środku stawki, zajmując odpowiednio 346 i 470 dni, aby osiągnąć punkt w połowie drogi.
We wszystkich branżach błędy w bibliotekach innych firm wykryte za pomocą SCA utrzymują się dłużej niż te wykryte za pomocą SAST i DAST, przy czym 30 proc. wrażliwych bibliotek nadal pozostaje nierozwiązanych po dwóch latach. W przypadku sektora detalicznego statystyka ta wzrasta do 35 proc. i jest opóźniona w stosunku do średniej międzybranżowej o ponad sześć miesięcy.
– Placówki handlowe powinny sobie zdawać sprawę z tego, że luka nigdy nie jest zbyt duża, aby ją naprawić. Szacuje, się że około 90 proc. błędów open source można łatwo naprawić za pomocą prostej aktualizacji, co jest dobrą wiadomością dla sprzedawców detalicznych, którzy chcą zabezpieczyć swoje łańcuchy dostaw oprogramowania. – dodaje Mariusz Politowicz.
W okresie poprzedzającym zakupy świąteczne sprzedawcy detaliczni powinni znajdować się w stanie najwyższej gotowości, aby utrzymać szybkość, wydajność i bezpieczeństwo swoich aplikacji. Firmy powinny zwracać szczególną uwagę na wykrywanie luk w oprogramowaniu innych firm za pomocą kombinacji narzędzi SCA i programistycznych.