Uit onderzoek van Veracode blijkt dat een kwart van de technologische toepassingen beveiligingslekken van ‘hoge urgentie’ bevat, die bij misbruik een ernstig risico voor de cyberveiligheid vormen.
Maar sector leidt de weg voor hersteltijden zodra gebreken worden ontdekt
BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van oplossingen voor het testen van moderne toepassingen, heeft vandaag onthuld dat 24 procent van de toepassingen in de technologiesector beveiligingsfouten bevat die als hoog risico worden beschouwd – wat betekent dat ze bij misbruik een kritiek probleem voor de toepassing zouden veroorzaken. Met een aantoonbaar hoger percentage applicaties dan in andere sectoren, zouden technologiebedrijven baat hebben bij het implementeren van betere trainingen en praktijken op het gebied van veilig coderen voor hun ontwikkelingsteams.
Chief Research Officer bij Veracode, Chris Eng, zei: “Door ontwikkelaars echte, praktische ervaring te geven voor wat er nodig is om een fout in code te ontdekken en te exploiteren en de potentiële impact ervan op de toepassing, krijgen ze de context en het begrip om hun intuïtie over softwarebeveiliging op te bouwen. Uit ons onderzoek bleek dat organisaties waarvan de ontwikkelaars slechts één les in ons hands-on Security Labs trainingsprogramma hadden gevolgd, 50 procent van de gebreken twee maanden sneller repareerden dan organisaties zonder een dergelijke training.”
De gegevens werden gepubliceerd in het jaarlijkse State of Software Security (SoSS) rapport v12 van Veracode die 20 miljoen scans analyseerde van een half miljoen toepassingen in de sectoren technologie, detailhandel, productie, gezondheidszorg, financiële diensten en overheid. Over het geheel genomen bleek de technologiesector met 79 procent het op één na hoogste percentage toepassingen met beveiligingslekken te hebben, en daarmee iets beter dan de publieke sector met 82 procent. De technologiesector bevindt zich in de middenmoot als het gaat om het percentage gebreken dat wordt verholpen.
Techbedrijven zijn relatief snel met het verhelpen van beveiligingsfouten in software
Bemoedigend is dat wanneer techbedrijven wel gebreken in hun toepassingen ontdekken, zijn ze relatief snel halverwege de herstelwerkzaamheden. De sector kan zelfs opscheppen over de beste reparatietijd voor gebreken die zijn ontdekt door middel van statische beveiligingsanalyses (SAST) en analyses over de samenstelling van software (SCA). Hoewel dit een lovenswaardige prestatie is, doet de sector er nog altijd 363 dagen over om 50% van de gebreken te verhelpen, wat erop wijst dat er nog veel ruimte voor verbetering is.
Eng voegde daaraan toe: “Log4j heeft veel organisaties afgelopen december wakker geschud. Dit werd gevolgd door overheidsactie in de vorm van richtlijnen van het Office of Management and Budget (OMB) en de Europese Cyber Resilience Act, die beide gericht zijn op de toeleveringsketen. Om de prestaties in het komende jaar te verbeteren, moeten technologiebedrijven niet alleen strategieën overwegen die ontwikkelaars helpen de snelheid van fouten die in code worden geïntroduceerd te verminderen, maar ook meer nadruk leggen op het automatiseren van beveiligingstests in de Continuous Integration/Continuous Delivery (CI/CD) pijplijn om de efficiëntie te vergroten.”
Serverconfiguratie, onveilige afhankelijkheden en informatielekken zijn de meest voorkomende soorten gebreken die bij dynamische analyse van technologische toepassingen worden ontdekt, wat in grote lijnen een soortgelijk patroon volgt als in andere sectoren. Omgekeerd vertoont de sector de grootste afwijking van het sectorgemiddelde voor cryptografische problemen en informatielekken, wat er misschien op wijst dat ontwikkelaars in de technologiesector beter op de hoogte zijn van gegevensbeschermingsproblemen.
De Veracode State of Software Security v12 technologie snapshot is hier beschikbaar om te downloaden en het volledige rapport is hier beschikbaar.
Over het State of Software Security-rapport
The Veracode State of Software Security (SoSS) v12 analyseerde de volledige historische gegevens van diensten en klanten van Veracode. Dit is goed voor een totaal van meer dan een half miljoen toepassingen (592.720) die alle scantypes gebruikten, meer dan een miljoen dynamische analysescans (1.034.855), meer dan vijf miljoen statische analysescans (5.137.882) en meer dan 18 miljoen softwaresamenstellingsanalysescans (18.473.203). Al deze scans leverden 42 miljoen ruwe statische bevindingen op, 3,5 miljoen ruwe dynamische bevindingen en zes miljoen ruwe SCA-bevindingen.
De gegevens vertegenwoordigen grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. In de meeste analyses werd een applicatie slechts één keer geteld, zelfs als deze meerdere keren werd ingediend terwijl er kwetsbaarheden werden verholpen en nieuwe versies werden geüpload.
Over Veracode
Veracode is een toonaangevende partner van AppSec voor het creëren van veilige software, het verminderen van het risico op inbreuk op de beveiliging en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Hierdoor kunnen bedrijven die Veracode gebruiken hun bedrijf en de wereld vooruit helpen. Dankzij de combinatie van procesautomatisering, integraties, snelheid en reactiesnelheid helpt Veracode bedrijven nauwkeurige en betrouwbare resultaten te verkrijgen, zodat zij hun inspanningen kunnen richten op het verhelpen en niet alleen op het vinden van potentiële kwetsbaarheden. Lees meer op www.veracode.com, in het Veracode blog, op LinkedIn en op Twitter.
Copyright © 2022 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden genoemd, zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20221208005103/nl/
Contacts
Katy Gwilliam
kgwilliam@veracode.com