Java-сервисы больше всего страдают от уязвимостей сторонних разработчиков, говорится в отчете

Согласно отчету "State of DevSecOps 2024", только что выпущенному поставщиком услуг облачной безопасности Datadog, Java-сервисы наиболее подвержены влиянию уязвимостей сторонних разработчиков.

В отчете, опубликованном 17 апреля, говорится, что 90% Java-сервисов подвержены одной или нескольким критическим или высокосерьезным уязвимостям, внедренным сторонними библиотеками. Средний показатель для других языков составил 47%.

Для оценки безопасности приложений в отчете Datadog были проанализированы десятки тысяч приложений и образов контейнеров, а также тысячи облачных сред. После Java в оценке уязвимостей следуют JavaScript - около 70%, Python - 62%, .NET - 50%, PHP - 35%, а также Go (golang) и Ruby - около 32%.

Java-сервисы также чаще всего оказывались уязвимы для реальных эксплойтов, использование которых злоумышленниками было задокументировано. Согласно списку уязвимостей, составленному Агентством кибербезопасности и защиты инфраструктуры США, 55% Java-сервисов были затронуты, в то время как среди сервисов, созданных с использованием других языков, таких было 7%.

Дополнительные выводы из отчета включают:

• По меньшей мере 38% организаций, использующих Amazon Web Services (AWS), развертывали рабочие нагрузки или выполняли важные действия вручную через консоль AWS в производственной среде в течение 14 дней, что означает, что они полагались на рискованные операции по щелчку мыши вместо автоматизации.
• 63% организаций продолжают полагаться на долгоживущие учетные данные - одну из наиболее распространенных причин утечки данных - в конвейерах CI/CD, даже в тех случаях, когда более практичными и безопасными были бы короткоживущие.
• Лишь небольшая часть выявленных уязвимостей заслуживает приоритетного внимания.
• Уровень внедрения инфраструктуры как кода был высок, но различался у разных облачных провайдеров.
• Подавляющее большинство атак, проводимых автоматическими сканерами безопасности, были безвредны и лишь создавали шум для защитников.
• Облегченные образы контейнеров приводят к уменьшению числа уязвимостей.

Datadog заявила, что результаты исследования демонстрируют, что современные практики devops идут рука об руку с надежными мерами безопасности. По словам компании, безопасность сама по себе способствует повышению операционной эффективности. Но безопасность становится реальной только тогда, когда специалисты получают достаточно контекста и приоритетов, чтобы сосредоточиться на главном.