Positive Technologies´i poolt tehtud uuring selgitas välja, et küberründajad võivad kätte saada kasutajate isiklikke andmeid 44 protsendist veebirakendustest, mis selliste andmetega tegelevad.
Paljud sellised veebilehed nagu pangad, e-poed, telekomiettevõtted on klientide isiklike andmetega ümberkäimisel liiga kergekäelised ja suur osa teenustest on haavatavad.
Ründed veebikasutajate andmete kättesaamiseks on võimalikud koguni 96 protsendil juhtudest, selgub uuringust, sealhulgas 48 protsenti veebirakendustest olid haavatavad ka autoriseerimata ligipääsuga. 17 protsenti veebirakendustest andsid osavale ründajale täieliku kontrolli teenuse üle.
Positiivse poole pealt selgus, et juba teist aastat järjest on haavatavate veebirakenduste protsent vähenenud. 2017. aastal olid 52 protsenti veebirakendustest oluliste turva-aukudega, 2016. aastal aga koguni 58 protsenti. Väiksemate turvaprobleemidega veebisaitide hulk aga on kasvanud 74 protsendini võrreldes 67 protsendiga 2016. aastal.
2017. aasta kõige levinumad kriitilised turvaaugud olid nn Cross-Site Scripting (kõige levinum), mis sisaldus 74 protsendil haavatavatest veebirakendustest, teised levinud turvaohud olid OS Commanding, Path Traversal, XML External Entities.
Ligi veerandi veebirakenduste puhul õnnestus „SQL-süstimine“ (SQL Injection), mis paljastab privaatse info andmebaasides. 9 protsenti veebirakendustest lubasid selliseid rünnakuid nagu OS Commanding, XML External Entities ja Path Traversal.
Valdav enamus (65 protsenti) turvaohtudest olid põhjustatud tarkvaraarenduses tehtud programmeerimisvigadest ja kolmandik oma veebirakenduste ebaõigetest seadistustest veebiserveris.
Seega DevSecOps´ide tööpõld on veel üsna lai.
