ال يفتح مشروع أمان التطبيق في جميع أنحاء العالم (OWASP) اكتسبت سمعة كسلطة موثوقة في أمن التطبيق. تعد مساهمتها المعترف بها على نطاق واسع ، OWASP Top 10 ، بمثابة نقطة مرجعية رئيسية للمطورين وأخصائيي الأمن ، مما يحدد مخاطر تطبيق الويب الأكثر انتشارًا. منذ ظهورها لأول مرة ، تم الدفاع عنها كمورد أساسي لتطوير البرمجيات الآمن. ولكن مع تكرار جديد في الأفق ، نحتاج إلى مواجهة حقيقة صعبة: هل فقدت Owasp Top 10 فعاليتها ، أم أننا فشلنا في تنفيذها بشكل مفيد؟
ليس هناك إنكار أن OWASP Top 10 يلعب دورًا قيمًا في زيادة الوعي. ومع ذلك ، فإن الوجود المستمر لنفس نقاط الضعف على إصدارات متعددة ، مثل هجمات الحقن ، والبرمجة النصية عبر المواقع (XSS) ، ونقاط الضعف المصادقة ، وسوء التكوينات تثير المخاوف. على الرغم من كونها معروفة على نطاق واسع ، فإن هذه القضايا لا تزال تعاني من تطوير البرمجيات. يؤكد العدد المتزايد من نقاط الضعف المسجلة كل عام في قاعدة بيانات CVE هذا الاتجاه المقلق. بدلاً من رؤية التحسن ، قمنا بتطبيع العديد من هذه العيوب. فلماذا يظل التقدم ذي معنى بعيد المنال؟
ما الذي يعيقه أعلى 10؟
من وجهة نظري ، تمنع ثلاث مشكلات أساسية من OWASP أعلى 10 من قيادة التغيير الحقيقي: غالبًا ما يفتقر المطورون إلى السياق البيئي ، وتناقص التعليم الأمني ، والقائمة نفسها غير قابلة للتنفيذ بسهولة.
1. المطورين ليس لديهم السياق الصحيح
يعمل مطورو اليوم عادةً ضمن قصص المستخدم المحددة ويتم تقييمهم بشكل أساسي استنادًا إلى تسليم الميزات بدلاً من اعتبارات الأمان. في كثير من الأحيان ، يفتقرون إلى نظرة ثاقبة حول كيفية عمل رمزهم في سيناريوهات العالم الحقيقي. هل هي جزء من خدمة مالية؟ تطبيق تواجه عام؟ أو شيء أكثر حساسية ، مثل منصة الرعاية الصحية؟ من السهل الحصول على السياق عند إنشاء البرنامج فقط لمنتجات محددة ، أو للاستخدام داخل الجدران الأربعة للشركة.
ولكن عندما يتم ترك السياق يتم ترك المطورين المفقودين لتقديم افتراضات يمكن أن تحدد المخاطر عن غير قصد. تتفاقم المشكلة من خلال كيفية تعامل الصناعة مع أدوار المطور: بافتراض مستويات المعرفة الموحدة حسب المسمى الوظيفي ، عندما تختلف التدريب والخبرة بشكل كبير. هذا يمثل مشكلة خاصة في عصر حيث الرمز الذي تم إنشاؤه من الذكاء الاصطناعى في ارتفاع. إذا تم إبلاغ هذا الرمز بأنماط غير آمنة ، أو إذا لم يكن المطورون مجهزين لاكتشاف الأخطار المحتملة ، فإن المخاطر تتكاثر.
فكر في هذا: عندما يتم إعادة استخدام الكود عبر SDKs أو واجهات برمجة التطبيقات أو حزم المصدر المفتوح ، أو بعد اكتساب الشركة ، فإن وعي المطور الأصلي لكيفية استخدام الكود غالباً ما يختفي. كلما زاد إزالته من المطور من الاستخدام النهائي ، كلما كان من الصعب في الاعتبار التدابير الأمنية المناسبة.
2. التعليم الأمني ينخفض
الوعي لا يساوي الفهم. والتفاهم لا يحدث بدون تعليم مناسب.
وفقا لأحدث تقرير الأمن في نموذج النضج (BSIMM)، الآن في الإصدار الخامس عشر ، انخفض التدريب على التوعية الأمنية في المنظمات بنسبة 50 ٪ تقريبًا منذ عام 2008. وهذا أمر مثير للقلق بشكل خاص نظرًا لسطح الهجوم المتزايد ، وارتفاع التهديد ، وتشديد المتطلبات التنظيمية.
عروض أمنية لمرة واحدة أو المستندات المتداولة ليست كافية. يحتاج المطورون إلى تدريب عملي وعملي يتماشى مع البيئات والتقنيات التي يعملون فيها. وبدون ذلك ، فإن OWASP أفضل 10 مخاطر لتصبح تمرينًا على صناديق الفحص بدلاً من المحفز للتطوير الآمن.
3. قائمة بدون إجراء
رفع الوعي هو جزء واحد فقط من الحل. بدون الأدوات والعمليات للعمل على تلك المعرفة ، لا يزال OWASP Top 10 Sired. إنه يحدد المخاطر ولكنه يفتقر إلى مشورة العلاج المدمجة ، أو أطر تحديد الأولويات ، أو آليات المساءلة. نتيجة لذلك ، قد يعتبر كل من المطورين وفرق الأمن مسؤولية شخص آخر. لا تلهم القوائم الثابتة التغيير الديناميكي ما لم يكن هناك نظام بيئي لتشغيلها.
يتجاوز أمان البرامج تطبيقات الويب
هناك قيود رئيسية أخرى لـ OWASP Top 10 هي تركيزها الضيق على تطبيقات الويب. في المشهد الرقمي اليوم ، تمتد التطبيقات أكثر بكثير من الويب ؛ وهي تشمل منصات الهاتف المحمول ، واجهات برمجة التطبيقات ، والأنظمة المدمجة ، والبنية السحابية الأصلية.
لاكتساب منظور أوسع وأكثر صلة ، يجدر التحول إلى موارد مثل Miter’s CWE Top 25 ، والتي تبرز نقاط الضعف في البرامج المستقلة عن النظام الأساسي بناءً على مدى استغلالها وشدة تأثيرها.
إليك إحصائيات قول: 40 ٪ من نقاط الضعف في 2024 CWE TOP 25 لا تنعكس في OWASP أعلى 10 على الإطلاق. واحدة من أكثر القضايا التي يتم استغلالها بشكل متكرر ، CWE-787 ، وهي عبارة عن محدود خارج الملاحظة ، غائب تمامًا. ذلك لأن OWASP يركز على نقاط الضعف على الويب ، بينما تنظر CWE في النظام البيئي الكامل للبرامج. يعزز هذا الفصل رؤية تدريجية للأمن ويمكن أن يترك بقع عمياء كبيرة.
وصل عصر المساءلة
عندما أكد أمن التطبيق مرة واحدة على زيادة الوعي ، فإن القوى التنظيمية تدخل الآن في عصر جديد من الإنفاذ. على سبيل المثال، قانون المرونة التشغيلية الرقمية للاتحاد الأوروبي (DORA) ، اعتبارًا من يناير 2025 ، يفرض معايير صارمة للمؤسسات المالية ، بما في ذلك تفويضات الاستجابة للحوادث وتقييمات المخاطر الطرف الثالث. لم يعد الامتثال خيارًا.
نتطلع إلى الأمام قانون المرونة الإلكترونية (CRA) ، المقرر تنفيذها في عام 2027 ، ستقدم التزامات أمان إلزامية لجميع الأجهزة والبرامج المتصلة التي تباع في الاتحاد الأوروبي. العقوبات على عدم الامتثال كبيرة بما يكفي لجذب الانتباه على مستوى اللوحة.
تمثل هذه اللوائح تطورًا واضحًا من التوصية إلى الالتزام. الشركات التي تفشل في بناء برامج أمنية استباقية ستفقد ثقة السوق وفي نهاية المطاف ، الأهمية.
اتخاذ إجراء: ماذا يجب أن يحدث الآن
إذا كانت استراتيجية الأمان الخاصة بك تعتمد فقط على OWASP Top 10 ، فقد حان الوقت لتوسيع نهجك. استخدمه كصباح إطلاق ، وليس وجهة. قم بإقرانها بموارد أكثر شمولاً مثل CWE Top 25 لالتقاط صورة أكمل للتهديدات الحديثة.
تجهيز المطورين مع كل من السلطة والأدوات. دمج التطوير الآمن في خطوط أنابيب CI/CD. توفير ملاحظات أمنية فورية أثناء التطوير ، وليس فقط بعد النشر. اجعل الأمان جزءًا لا يتجزأ من إكمال المنتج ، وليس فكرة لاحقة.
التدريب يحتاج أيضا إلى التطور. يتطلب المطورون التعليم السياقي المصمم لبيئاتهم ، ومداخن التكنولوجيا ، ومخاطر الأعمال. الدورات المعممة لن تقطعها.
بالإضافة إلى ذلك ، قم بقياس البرنامج مقابل بيانات العالم الحقيقي. تكشف موارد مثل تقرير BSIMM عن المنظمات الناجحة التي تفعله. استخدم هذه الرؤى لقياس الممارسات الخاصة بك وتحسينها باستمرار.
أخيرًا ، قم بإنشاء خطوط واضحة للمساءلة. جعل مقاييس الأمن جزءًا من المراجعات العادية. ربطهم بالحوافز. لأنه عندما يصبح الأمن جزءًا من عملية الأعمال الأساسية ، يصبح التغيير المستدام ممكنًا.
ختاماً
لقد نواجه نفس نقاط الضعف في OWASP Top 10 لأكثر من 15 عامًا. خلال ذلك الوقت ، رأينا ابتكارًا هائلاً ، من الحوسبة السحابية إلى الذكاء الاصطناعي ، ومع ذلك ما زلنا نقوض عيوب مألوفة مثل بقايا الحقن والمصادقة المكسورة.
لذلك ربما ليست القضية ما إذا كانت OWASP Top 10 قد فشلت. السؤال الحقيقي هو: لماذا لم نتخذ إجراءً أكبر بناءً على ما نعرفه بالفعل؟
تيم ماكي هو رئيس مخاطر سلسلة توريد البرمجيات في البط الأسود.
