17:51 uur 26-09-2023

Uit onderzoek van Veracode blijkt dat 80% van de toepassingen die in EMEA worden ontwikkeld, beveiligingslekken bevatten

  • Uit het rapport ‘State of Software Security 2023’ blijkt dat de beveiliging van software in EMEA achterblijft, met bijna 20% van de applicaties die ‘zeer ernstige’ fouten bevatten
  • EMEA-organisaties lopen verhoogd risico door kwetsbaarheden in code van derden en door AI-gegenereerde code

LONDEN–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van intelligente softwarebeveiliging, heeft vandaag onderzoek gepubliceerd waaruit blijkt dat applicaties die door organisaties in Europa, het Midden-Oosten en Afrika zijn ontwikkeld over het algemeen meer beveiligingslekken bevatten dan die van hun Amerikaanse tegenhangers. In alle geanalyseerde regio’s heeft EMEA ook het hoogste percentage ‘zeer ernstige’ fouten, wat betekent dat ze een kritiek probleem voor het bedrijf zouden veroorzaken als ze zouden worden misbruikt. Een hoog aantal zwakke plekken en kwetsbaarheden in applicaties correleert met een verhoogd risiconiveau, wat vooral opmerkelijk is omdat in 2023 cyberaanvallen op de softwareketen krantenkoppen domineren.

Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20230925485820/nl/

Figure 1: Percent of applications that had a flaw found in their last scan over the last 12 months, by category. Lower numbers are better. (Graphic: Business Wire)

Figure 1: Percent of applications that had a flaw found in their last scan over the last 12 months, by category. Lower numbers are better. (Graphic: Business Wire)

Onderzoekers ontdekten dat bij iets meer dan 80 procent van de applicaties, die door EMEA-organisaties zijn ontwikkeld, ten minste één beveiligingslek is gedetecteerd in de meest recente scan van de afgelopen 12 maanden, vergeleken met iets minder dan 73 procent bij Amerikaanse organisaties. Daarnaast was het percentage applicaties met ‘zeer ernstige’ fouten met bijna 20 procent het hoogste van alle regio’s.

“Uit onze gegevens blijkt dat organisaties wereldwijd nog steeds een zorgwekkend aantal applicaties implementeren met een groot aantal gebreken in de CWE Top 25,” aldus Chris Eng, Chief Research Officer bij Veracode. “We hebben echter wel interessante regionale verschillen vastgesteld, met name wat betreft het gebruik van code van derden of open source en de manieren waarop kwetsbaarheden worden geïntroduceerd tijdens de levenscyclus van applicaties”, vervolgt hij.

Analyse van gegevens die uit meer dan 27 miljoen scans van 750.000 toepassingen is verzameld, is de basis voor het nieuwste, jaarlijkse rapport van Veracode over de State of Software Security. Dit nieuwe rapport toont de EMEA-specifieke bevindingen van deze scans en toepassingen, waaronder resultaten uit het Verenigd Koninkrijk, Duitsland, Frankrijk, Italië en het Midden-Oosten en Afrika.

Cijfers alleen volstaan niet om de gevolgen weer te geven van hackers die kwetsbaarheden in software uitbuiten. Nu organisaties in heel EMEA een steeds complexere mix van software van derden gebruiken om hun diensten te leveren, kan de uitbuiting van een ernstig lek duizenden slachtoffers tegelijk treffen. Eerder dit jaar werd een kwetsbaarheid in de printsoftwaretools PaperCut MF en PaperCut NG actief misbruikt door kwaadwillenden. Tot 70.000 organisaties in 200 landen werden potentiële slachtoffers en uit rapporten van wetshandhavingsinstanties bleek dat kwaadwillenden met succes kwetsbare entiteiten in de onderwijssector wisten te compromitteren.

Java en code van derden introduceren aanzienlijke beveiligingslekken

Het onderzoek bracht opmerkelijke regionale verschillen in voorkeurstaalgebruik aan het licht, waarbij Java de voorkeurtaal bleek te zijn voor ontwikkelaars in EMEA. Teams die Java gebruikten bleken gebreken langzamer te verhelpen dan teams die .NET of JavaScript gebruikten, waardoor veel van deze gebreken bleven bestaan of aanzienlijk langer onontdekt bleven. Aangezien meer dan 95 procent van de Java-toepassingen bestaat uit code van derden of open source, is het gebruik van Java bovendien een belangrijke factor in het hogere percentage kwetsbaarheden dat in toepassingen in de regio wordt geïntroduceerd. Dit onderstreept het belang van Software Compositie Analyse (SCA), die zwakke plekken in open source code opspoort, en het onderzoek vond een hoger percentage zwakke plekken gerapporteerd door SCA in EMEA dan in andere regio’s.

Naarmate generatieve AI steeds meer terrein wint in de softwareontwikkeling, neemt het risico op kwetsbaarheden uit externe bronnen toe. Een onderzoek, gepresenteerd op Black Hat in 2022, toonde kwetsbaarheden aan in 40 procent van de code die door grote taalmodellen was geschreven, die op enorme hoeveelheden ongeraffineerde gegevens waren getraind, waaronder miljoenen openbare GitHub-opslagplaatsen. Het is daarom van cruciaal belang dat organisaties SCA-instrumenten gebruiken om fouten te vinden en op te lossen, waardoor ontwikkelaars kunnen profiteren van AI zonder de veiligheid van applicaties in gevaar te brengen.

Applicaties worden in de loop van de tijd kwetsbaarder

Uit het onderzoek bleek ook dat er gedurende de gehele levenscyclus van applicaties nog steeds veel meer nieuwe tekortkomingen in EMEA-applicaties worden geïntroduceerd dan in andere regio’s. Terwijl EMEA-organisaties hun applicaties blijven updaten, was er minder aandacht voor kwaliteit. Na een periode van vijf jaar blijft 50 procent van de applicaties in EMEA nieuwe tekortkomingen introduceren, vergeleken met iets meer dan 30 procent in de rest van de wereld. Over het geheel genomen was de basiskans dat er in een bepaalde maand een fout zou worden geïntroduceerd 27 procent.

EMEA-organisaties zouden er dus baat bij hebben om meer aandacht te besteden aan het laatste deel van de levenscyclus van applicaties en applicaties regelmatiger te scannen. Ze zouden ook prioriteit moeten geven aan beveiligingstrainingen voor ontwikkelaars. Uit het onderzoek blijkt dat de voltooiing van tien interactieve beveiligingstrainingen de kans op de introductie van fouten in een bepaalde maand vermindert van 27 procent naar ongeveer 25 procent.

“Het State of Software Security-rapport van dit jaar werpt licht op het belang van beveiliging gedurende de gehele levenscyclus van software, evenals op de dringende noodzaak om risico’s aan te pakken die voortvloeien uit code van derden en door AI-gegenereerde code”, aldus Eng. “Hoewel we over de hele wereld nog steeds een zorgwekkend aantal kwetsbaarheden zien, zijn deze cijfers in EMEA bij vrijwel alle metingen hoger. Ontwikkelteams in deze regio moeten de kans aangrijpen om softwarebeveiliging te automatiseren om regelmatig te scannen, en hun gebruik van AI-instrumenten zorgvuldig overwegen, zowel om de beveiliging te vergroten als om ontwikkelaars meer mogelijkheden te bieden.”

De Veracode State of Software Security EMEA 2023 beveelt vier acties aan die softwareontwikkelingsteams kunnen ondernemen om hun cybersecuritypositie te verbeteren en is beschikbaar voor downloaden via de Veracode-website.

Het wereldwijde Veracode State of Software Security 2023-rapport is beschikbaar om te downloaden.

Over het State of Software Security-rapport

Het 13e deel van Veracode’s jaarverslag over de State of Software Security onderzoekt historische trends die het softwarelandschap vormgeven en hoe beveiligingspraktijken zich samen met deze trends ontwikkelen. De bevindingen van dit jaar zijn gebaseerd op de volledige historische gegevens die beschikbaar zijn vanuit de diensten en klanten van Veracode. Ze vertegenwoordigen een dwarsdoorsnede van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het rapport bevat bevindingen over applicaties die onderworpen zijn aan statische analyse, dynamische analyse, analyse van de softwaresamenstelling en/of handmatige penetratietesten via het cloudgebaseerde platform van Veracode.

Over Veracode

Veracode is intelligente softwarebeveiliging. Het Veracode Software Security Platform detecteert voortdurend fouten en kwetsbaarheden in elke fase van de moderne levenscyclus van softwareontwikkeling. Aangespoord door krachtige AI die door biljoenen regels code getraind is, repareren Veracode-klanten fouten sneller en met hoge nauwkeurigheid. Veracode wordt vertrouwd door beveiligingsteams, ontwikkelaars en bedrijfsleiders van duizenden toonaangevende organisaties ter wereld en is de pionier die voortdurend opnieuw definieert wat intelligente softwarebeveiliging betekent.

Copyright © 2023 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectieve eigenaars.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Contacts

Katy Gwilliam

kgwilliam@veracode.com

Check out our twitter: @NewsNovumpr