Почти девет от всеки десет организации работят със софтуер, който съдържа поне една известна и потенциално експлоатируема уязвимост. Това показва нов доклад, който очертава сериозно разминаване между начина, по който днес се разработва софтуер, и реално прилаганите практики за сигурност.
Данните идват от годишен анализ на Datadog, който обхваща хиляди среди и услуги в продукционна експлоатация. Изводът е ясен: автоматизацията и скоростта на съвременния DevOps значително изпреварват способността на екипите да поддържат адекватно ниво на защита.
Един от най-притеснителните изводи в доклада е, че 42% от услугите разчитат на библиотеки, които вече не се поддържат активно. Липсата на обновления означава, че дори откритите уязвимости често остават без корекция, превръщайки се в лесна мишена за атаки.
Съдържание на статията
Остарели технологии, по-висок риск
Използването на версии на програмни езици, които са достигнали края на жизнения си цикъл, значително увеличава вероятността от пробив. Според анализа, при такива среди 50% от услугите съдържат експлоатируеми уязвимости, докато при поддържаните версии този дял е 31%.
Проблемът се задълбочава от бавната реакция при обновяване на зависимости. Само половината от организациите внедряват нови версии на библиотеки в рамките на първите 24 часа след излизането им. Това забавяне отваря прозорец, в който злонамерен или компрометиран код може да попадне в продукционна среда.
Още по-рискова е ситуацията при CI/CD процесите. Едва 4% от анкетираните организации фиксират всички публични GitHub Actions към конкретна версия чрез commit hash. В останалите случаи автоматизациите са уязвими на „тихи“ промени в кода, които могат да се случат без знанието на екипите.
Между бавността и прибързаността
Според Andrew Krug, ръководител на звеното за застъпничество по сигурността в Datadog, основният проблем не е скоростта, а липсата на яснота. По думите му DevSecOps екипите често са притиснати между две крайности, а ако действат твърде бавно, натрупват остарял софтуер с известни уязвимости, а ако действат твърде бързо, автоматизацията може да въведе непроверен и нестабилен код.
С нарастването на сложността на инфраструктурите приоритизацията става все по-трудна. Именно тук все по-голяма роля започват да играят AI-базирани работни процеси, които могат да помогнат критичните рискове да изпъкнат сред огромния обем сигнали.
„Критично“ не винаги означава опасно
Интересен контрапункт в доклада е, че нарастващият брой аларми за уязвимости не означава автоматично по-висок реален риск. След прилагане на контекст от реалната среда, като това дали уязвимият код изобщо се изпълнява, едва 18% от уязвимостите, първоначално класифицирани като „критични“, остават такива.
Този дисбаланс води до добре познат проблем – претоварване на екипите със сигнали, които не изискват спешна реакция. В резултат реално опасните заплахи могат да останат на заден план, а екипите да се забавят в реакцията си, докато се занимават с по-маловажни проблеми.
Докладът на Datadog очертава ясна тенденция: без по-добра видимост и контекст управлението на риска става все по-неефективно. В свят, в който почти всичко изглежда „критично“, истинското предизвикателство е да се разпознае какво наистина изисква незабавни действия.
