Onderzoek van Veracode onthult stappen om introductie en accumulatie van beveiligingsfouten te verminderen naarmate apps groeien en ouder worden

• Meer dan 30 procent van de applicaties bevat gebreken bij de eerste scan; na vijf jaar heeft bijna 70 procent van de apps ten minste één fout
• Scannen via API, praktische beveiligingstraining en scanfrequentie geïdentificeerd als sleutelfactoren om de introductie van fouten in de loop van de tijd te verminderen

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van moderne testoplossingen voor applicatiebeveiliging, heeft vandaag gegevens onthuld die organisaties tijd en geld kunnen besparen door ontwikkelaars te helpen de introductie en opeenhoping van beveiligingsfouten in hun software te minimaliseren. Uit het State of Software Security 2023-rapport bleek dat de foutopbouw in de loop van de tijd zodanig is dat bijna 32 procent van de applicaties bij de eerste scan gebreken vertoont, en tegen de tijd dat ze vijf jaar in productie zijn, bevat bijna 70 procent ten minste één beveiligingsfout. Veracode publiceert sinds 2010 zijn jaarverslag, waarin de belangrijkste ontdekkingen van zijn diverse klantenbestand worden samengevat.

Aangezien de kosten van een datalek gemiddeld $ 4,35 miljoen* bedragen, moeten teams prioriteit geven aan herstel in een vroeg stadium van de levenscyclus van de softwareontwikkeling om het risico dat wordt veroorzaakt door de accumulatie van fouten tot een minimum te beperken. Chris Eng, Chief Research Officer bij Veracode, verklaarde: “Zoals bij al onze onderzoeken, wilden we inzichten bieden die ontwikkelaars meteen in actie kunnen brengen. Uit de bevindingen van dit jaar kwamen twee belangrijke overwegingen naar voren: hoe de kans op het introduceren van gebreken in de eerste plaats kan worden verkleind en hoe het aantal geïntroduceerde gebreken kan worden verminderd. Afgezien van technische toegangscontroles, zijn veilige coderingspraktijken des te belangrijker voor cyberbeveiliging in 2023 en daarna.”

Geen directe correlatie tussen app-groei en foutintroductie

Na de eerste scan gaan apps al snel een ‘wittebroodswekenperiode’ van stabiliteit in en neemt bijna 80 procent de eerste 1,5 jaar helemaal geen nieuwe gebreken op. Na dit punt begint het aantal nieuwe fouten echter weer te stijgen tot ongeveer 35 procent na vijf jaar.

Uit het onderzoek bleek dat training van ontwikkelaars, het gebruik van meerdere scantypen, waaronder scannen via API, en scanfrequentie invloedrijke factoren zijn bij het verminderen van de kans op het introduceren van fouten. Dit suggereert dat teams deze zaken tot sleutelcomponenten van hun softwarebeveiligingsprogramma’s moeten maken. Het overslaan van maanden tussen scans correleert bijvoorbeeld met een grotere kans dat fouten worden gevonden wanneer een scan uiteindelijk wordt uitgevoerd. Bovendien verschillen de belangrijkste tekortkomingen in apps per testtype, wat het belang benadrukt van het gebruik van meerdere scantypen om ervoor te zorgen dat moeilijk te identificeren fouten niet worden gemist.

De kwetsbaarheid van open source

Met meer aandacht voor de Software Bill of Materials in het afgelopen jaar, heeft het onderzoeksteam van Veracode ook 30.000 open-source repositories onderzocht die publiekelijk op GitHub worden gehost. Interessant genoeg had 10 procent van de repositories al bijna zes jaar geen commit (een wijziging in de broncode) gehad. Eng stelde: “Het gebruik van een softwarecompositie-analyse (SCA)-oplossing die gebruik maakt van meerdere bronnen voor fouten, naast de National Vulnerability Database, zal teams vooraf waarschuwen zodra een kwetsbaarheid wordt onthuld en hen in staat stellen om sneller beveiligingsmaatregelen te implementeren, hopelijk voordat de exploitatie begint. Het instellen van organisatiebeleid rond detectie en beheer van kwetsbaarheden wordt ook aanbevolen, evenals het overwegen van manieren om afhankelijkheden van derden te verminderen.”

Voorkomen is beter dan genezen: stappen voor succes

Het onderzoek van Veracode onthult de belangrijkste stappen die beveiligings- en ontwikkelingsteams moeten nemen:

• Pak technische of beveiligingstekortkomingen zo vroeg en snel mogelijk aan. De saneringscurve moet eerder en sneller dalen, omdat een applicatie na twee jaar al een serie opgehoopte fouten zal hebben. Of het nu gaat om toenemende complexiteit na jaren van gestage groei of afnemende focus op applicatie-ontwikkeling, deze trend zet zich door, wat betekent dat er een kans van 90 procent is dat een applicatie na 10 jaar ten minste één fout bevat. Regelmatig scannen met behulp van verschillende tools helpt bij het vinden en oplossen van fouten die in de loop van de tijd zijn geïntroduceerd of opgebouwd.
• Geef prioriteit aan automatisering en beveiligingstraining voor ontwikkelaars om inzicht te krijgen in welke kwetsbaarheden het meest waarschijnlijk zullen worden geïntroduceerd, evenals technieken om het introduceren van fouten helemaal te voorkomen. Over het algemeen blijkt uit de gegevens dat er een kans van 27 procent bestaat dat er in een bepaalde maand nieuwe fouten in een applicatie worden geïntroduceerd. Organisaties die via API scannen verkleinen deze kans tot 25 procent. Degenen die 10 Security Labs hebben voltooid – een trainingsplatform dat praktische ervaring biedt op het gebied van detectie en herstel van kwetsbaarheden – verminderen ook de kans op het introduceren van fouten met 1,8 procent in een maand.
• Stel een protocol voor beheer van de levenscyclus van applicaties op waarin wijzigingsbeheer, toewijzing van middelen en organisatorische controles zijn opgenomen. Onderzoek hoe de draagvlak- en kwaliteitscontrolefasen in uw organisatie eruitzien. Eerste besprekingen zouden kunnen leiden tot geplande veroudering van sommige applicaties en een herziening van de processen en kwaliteitscontrolemaatregelen die betrokken zijn bij continue productontwikkeling.

Jay Jacobs, mede-oprichter en datawetenschapper bij The Cyentia Institute, met wie Veracode het rapport produceerde, sloot af: “Met het State of Software-rapport van Veracode is het fascinerend om de accumulatie en het gedrag van fouten te onderzoeken door gebruik te maken van bijna twee decennia aan gegevens. De breedte en diepte van de gegevens stelt ons in staat om niet alleen best practices te identificeren, maar ook enkele van de meer subtiele factoren die vroeg in het ontwikkelingsproces moeten worden aangepakt om risico’s op een later tijdstip te minimaliseren.”

De Veracode State of Software Security 2023-studie analyseerde meer dan driekwart miljoen applicaties van commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het volledige rapport kan hier worden gedownload.

* IBM Security and The Ponemon Institute, ‘Cost of a Data Breach Report 2022’, juli 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ

Over het State of Software Security-rapport

Het Veracode State of Software Security 2023-rapport analyseerde gegevens van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het rapport bevat bevindingen van meer dan driekwart miljoen (759.445) applicaties die gebruik maakten van alle soorten scans, meer dan een miljoen (1.262.147) dynamische analysescans, meer dan zeven miljoen (7.522.989) statische analysescans en meer dan 18 miljoen (18.473.203) softwarecompositie-analysescans. Al die scans leverden 86 miljoen onbewerkte statische bevindingen, 3,7 miljoen onbewerkte dynamische bevindingen en 8,5 miljoen onbewerkte softwarecompositie-analysebevindingen op.

Over Veracode

Veracode is een toonaangevende AppSec-partner voor het maken van veilige software, het verminderen van het risico op beveiligingsinbreuken en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Als gevolg hiervan kunnen bedrijven die Veracode gebruiken hun bedrijf en de wereld vooruithelpen. Met zijn combinatie van procesautomatisering, integraties, snelheid en reactievermogen helpt Veracode bedrijven nauwkeurige en betrouwbare resultaten te behalen, zodat ze hun inspanningen kunnen richten op het oplossen, niet alleen op het vinden, van potentiële kwetsbaarheden. Lees meer op www.veracode.com, op de Veracode-blog op LinkedIn en op Twitter.

Copyright © 2023 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectieve eigenaars.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20230111005145/nl/

Contacts

Voor meer informatie:

Katy Gwilliam

kgwilliam@veracode.com