Розничные продавцы не могут позволить себе пренебрегать безопасностью программного обеспечения

Пандемия COVID-19 перевернула розничную торговлю и ускорила цифровую трансформацию:объем розничной торговли через Интернет резко вырос в 2020 году, а продажи электронной коммерции в США в праздничные дни выросли на 49% по сравнению с предыдущим годом.

При таком большом объеме цифровое присутствие розничных продавцов должно быть устойчивым и безопасным. Веб-приложения должны удовлетворять потребности клиентов в простоте использования и скорости, но поскольку 43% всех нарушений происходит в результате уязвимостей на уровне приложений, безопасность этих приложений имеет первостепенное значение.

В связи с резким ростом онлайн-розничной торговли и соответствующим вниманием, которое уделяется этим приложениям для увеличения доходов, розничные продавцы могут извлечь выгоду из понимания защиты своих приложений.

В недавнем отчете Veracode о состоянии безопасности программного обеспечения (SoSS) указывается на частоту уязвимостей в приложениях в различных отраслевых вертикалях, включая розничную торговлю и гостиничный бизнес. В отчете указано, что:

• 26% розничных приложений имеют серьезные недостатки безопасности.
• 76% розничных приложений имеют недостатки.
• 74% от общего числа дефектов розничной торговли исправляются.

Чтобы разобраться в этих данных, мы можем сравнить сектор розничной торговли с другими отраслями, чтобы выяснить, насколько хорошо розничные торговцы защищают приложения и своих клиентов. Частота некорректных розничных приложений высока:более трех из каждых четырех приложений содержат хотя бы один недостаток. Несмотря на такое устрашающее количество уязвимостей, розничная торговля имеет один из лучших показателей устранения недостатков программного обеспечения - 74%, уступая только финансовым услугам - 75%, и лучше, чем вертикали здравоохранения, производства, технологий и правительства.

Подобно этому успеху в скорости исправления, розничные продавцы имеют лучшую скорость устранения недостатков:в среднем приложению требуется 125 дней для исправления половины известных дефектов. Хотя розничная торговля и гостиничный бизнес начинаются с большего количества недостатков, чем некоторые другие отрасли, разработчики быстро вникают и исправляют эти недостатки, чтобы повысить безопасность приложений и защитить данные клиентов.

В целом эффективность устранения уязвимостей в приложениях в розничной торговле является многообещающей. Но что это значит в контексте прошлого года? Новая норма повлияла на каждую отрасль и подтолкнула бизнес еще дальше в цифровую сферу, что означает увеличение трафика между приложениями повсюду. Это особенно актуально для таких отраслей, как розничная торговля.

Стоит отметить, что отчет SoSS показал, что 55% серьезных недостатков в розничной торговле и гостиничном бизнесе попали в категорию утечки информации. Этот тип недостатка, если его использовать, может подорвать доверие клиентов к розничным брендам и запятнать репутацию бренда. Суть в том, что по мере того, как все больше клиентов взаимодействуют с Интернетом, безопасность розничных приложений должна продолжать улучшаться. Организации должны принять вызов и продолжить интеграцию безопасности на протяжении всего жизненного цикла разработки программного обеспечения, часто и регулярно проводить проверки безопасности своих приложений, а также использовать несколько типов сканирования с помощью статического и динамического анализа для выявления дефектов.

В то время как группы по обеспечению безопасности приложений должны стремиться и дальше повышать скорость исправления, один из лучших способов улучшить состояние безопасности розничной торговли - это с самого начала ограничить количество ошибок, обнаруживаемых в приложениях.

Достичь этой цели поможет обучение разработчиков, создающих и развертывающих эти приложения, по вопросам безопасности. Обучение разработчиков тому, как избежать распространенных недостатков безопасности и с самого начала писать безопасный код, сократит количество новых недостатков, что, в свою очередь, упростит исправление существующих недостатков с течением времени. Таким образом, программы AppSec в розничных организациях будут лучше подготовлены к более быстрым циклам выпуска без замедления работы разработчиков.

Крис Энг - главный научный сотрудник Veracode.