أطلقت اليوم شركة Veracode، الشركة الرائدة عالميًا في إدارة مخاطر التطبيقات، نسختها الخامسة عشرة من تقرير حالة أمن البرمجيات (SoSS).يسلط التقرير، الذي يستند إلى مجموعة بيانات واسعة تضم 1.3 مليون تطبيق فريد و126.4 مليون نتيجة خام، الضوء على الاتجاهات المهمة ويقدم رؤية جديدة لنضج أمن البرمجيات لتحسين ممارسات إدارة مخاطر التطبيقات. 

يكشف البحث عن زيادة مثيرة للقلق في متوسط وقت إصلاح الثغرات الأمنية – من 171 يومًا إلى 252 يومًا على مدى السنوات الخمس الماضية، وارتفاع بنسبة 327 بالمائة منذ المجلد الأول للتقرير قبل 15 عامًا. علاوة على ذلك، تحمل 50% من المنظمات الآن ديونًا أمنية حرجة، والتي يتم تعريفها على أنها عيوب متراكمة تركت مفتوحة لأكثر من عام. تنشأ غالبية نقاط الضعف هذه من تعليمات برمجية تابعة لجهة خارجية وسلسلة توريد البرامج. إن الديون الأمنية التي لم يتم حلها تجعل المنظمات عرضة للهجوم، مما يعرضها لأضرار في السمعة والأضرار المالية والأضرار التشغيلية.

 قال Chris Wysopal، كبير مستشاري الأمن في Veracode: “أصبح سطح الهجوم معقدًا بشكل متزايد، خاصة في العامين الماضيين مع انفجار هندسة الذكاء الاصطناعي. وجد تقرير العام الماضي أن 46 في المائة من المنظمات لديها ديون أمنية عالية الخطورة. ورغم أن الزيادة من سنة إلى أخرى قد تبدو هامشية، فإنها تسير في الاتجاه الخاطئ. وتقدم تحقيقاتنا أدلة قوية على أن المنظمات قادرة على خفض الديون، لكن الكثير منها تحتاج إلى المساعدة في تحديد أولويات نقاط الضعف التي تجب معالجتها أولاً”. 

 قياس الأداء الأمني 

قام بحث Veracode أيضًا بتحليل توزيع الديون الأمنية عبر المؤسسات. وفي حين أن بعضها لا يعاني من أي ديون تقريبًا بينما يغرق البعض الآخر فيها، فإن معظمها يقع في مكان ما بين المرحلتين، مع مزيج من التطبيقات الخالية من الديون والتطبيقات المثقلة بالديون.

وقال Wysopal: “إن الفجوة بين أعلى 25% وأدنى 25% من المنظمات مثيرة للاهتمام”. “وتثير النتائج تساؤلاً حول العوامل التي تفسر الاختلافات الواضحة في كيفية إدارة المنظمات للديون الأمنية وما يمكن للفرق فعله لمعالجتها”.

حددت أبحاث Veracode خمسة مقاييس رئيسية تشير إلى نضج الأمان وتتنبأ بقدرة المؤسسة على تقليل المخاطر بشكل منهجي: انتشار العيوب، وإمكانية الإصلاح، وسرعة الإصلاح، وانتشار الديون، والديون مفتوحة المصدر. يوضح التقرير أهمية كل مقياس ويكشف عن المعايير التي تحدد ما إذا كانت المنظمة “رائدة” أو “متأخرة”.

•  انتشار العيوب: تعاني المنظمات الرائدة من العيوب في أقل من 43 بالمائة من التطبيقات، في حين تتجاوز النسبة في المنظمات المتأخرة 86 بالمائة. 
•  إمكانية الإصلاح: تعالج المنظمات الرائدة أكثر من 10% من العيوب شهريًا، في حين تعالج المنظمات المتأخرة أقل من 1%. 
•  سرعة الإصلاح: تنجح المنظمات ذات الأداء الأفضل في علاج نصف العيوب في خمسة أسابيع؛ أما المنظمات ذات الأداء الأقل فتستغرق أكثر من عام. 
•  انتشار الديون الأمنية: أقل من 17% من التطبيقات في المنظمات الرائدة تحمل ديون ضمان، مقارنة بأكثر من 67% في المنظمات المتأخرة. 
•  الديون مفتوحة المصدر: تحافظ المنظمات الرائدة على نسبة ديون حاسمة مفتوحة المصدر أقل من 15 بالمائة، في حين أن 100 بالمائة من الديون الحرجة هي مفتوحة المصدر في المنظمات المتأخرة. 

وأضاف Wysopal: “يوفر البحث إطارًا مفيدًا للمنظمات لتقييم نضجها الأمني. وهذا يتيح لهم فهم العوامل المحددة التي تساهم في الديون الأمنية، وقياس أهمية كل مقياس، ومقارنة أدائهم مع المنظمات المماثلة. نحن نقدم توصيات متعمقة من خبرائنا والمنظمات الرائدة حول كيفية التحسين”.

 اللوائح السيبرانية تعزز السلوكيات الإيجابية وتعزز أمن التطبيقات 

 وعلى صعيد إيجابي، وجدت أبحاث Veracode أن معدل التطبيقات التي اجتازت قائمة العشرة الأوائل في مشروع أمان التطبيقات المفتوحة في جميع أنحاء العالم (OWASP) قد ارتفع بنسبة 63 بالمائة على مدى السنوات الخمس الماضية، وتضاعف أكثر من الضعف في 15 عامًا. ستصدر لوائح جديدة للأمن السيبراني في عام 2024، مثل قرار لجنة الأوراق المالية والبورصة الأمريكية (SEC) وقانون المرونة السيبرانية في الاتحاد الأوروبي، في هذا الاتجاه حيث يتبنى بائعو البرامج نهجًا أكثر انضباطًا لإدارة المخاطر. 

 رؤية جديدة للنضج الأمني 

تؤكد وجهة النظر الجديدة لشركة Veracode حول نضج أمن البرمجيات على الحاجة إلى أن تتبع الشركات نهجًا استراتيجيًا قائمًا على السياق لإدارة المخاطر الأكثر إلحاحًا وقابلية للاستغلال. يوصي التقرير بمجالين رئيسيين للتركيز بالنسبة للمنظمات. أولاً، يجب على المنظمات تعزيز الرؤية والتكامل عبر دورة حياة تطوير البرمجيات بأكملها، باستخدام الأتمتة وحلقات التغذية الراجعة لمنع ظهور ثغرات أمنية جديدة. ثانيًا، يجب عليها إعطاء الأولوية لربط النتائج الأمنية وتوفير سياق لها في عرض واحد، مما يسمح لها بمعالجة تراكم المهام الأمنية بكفاءة وتقليل أعلى المخاطر بأقل جهد ممكن.

 وأضاف Wysopal: “أدوات مثل Application Security Posture Management تُمكِّن محترفي الأمان وفرق التطوير من تحديد الأولويات واتخاذ قرارات مستنيرة من خلال تحديد ما يمكن استغلاله، وما يمكن الوصول إليه، وما هو عاجل”. 

بينما تعبر المنظمات مشهد التهديدات المتزايد التعقيد، يُعد تعزيز نضج الأمن أولوية أساسية. أبحاث Veracode توفر خارطة طريق للمنظمات لتقييم وضعهم الأمني وتحسينه. من خلال معالجة الديون الأمنية والاستفادة من أفضل الأدوات والممارسات، يمكن للشركات تعزيز المرونة، وتقليل المخاطر، والامتثال للوائح الأمن السيبراني المتطورة.

 تقرير حالة أمن البرمجيات 2025 الكامل متاح للتنزيل على موقع Veracode الإلكتروني. كما أن مدونة توضح النتائج الرئيسية من التقرير متاحة أيضًا للقراءة. 

 حول تقرير حالة أمن البرمجيات 

 تقرير حالة أمن البرمجيات لعام 2025 الصادر عن Veracode هو الإصدار الخامس عشر من التقرير. وقد قام بتحليل البيانات من شركات من جميع الأحجام، وموردي البرمجيات التجارية، ومتعهدي البرمجيات الخارجيين، والمشاريع مفتوحة المصدر. يحتوي التقرير على نتائج حول التطبيقات التي تم تحليلها باستخدام التحليل الثابت، و/أو التحليل الديناميكي، و/أو تحليل تكوين البرمجيات، و/أو اختبار الاختراق اليدوي عبر منصة Veracode السحابية. وعلى وجه التحديد، تأتي البيانات من: 

• 1.3 مليون تطبيق فريد مع 126.4 مليون نتيجة أولية.
• 107.4 مليون نتيجة تم تحديدها عبر فحوصات SAST
• 3.9 مليون نتيجة تم تحديدها عبر فحوصات DAST
• تم تحديد 15 مليون نتيجة من خلال تحليل تكوين البرمجيات