2026 State of Software Security Report van Veracode onthult dat vier op vijf organisaties in securityschuld aan het verdrinken is

Kwetsbaarheden met hoog risico pieken met 36% op jaarbasis nu kritieke securityschuld met 20% toeneemt, wat duidt op een groeiende crisis in softwarebeveiliging

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, wereldleider in applicatierisicobeheer, publiceerde vandaag haar 2026 State of Software Security Report, waarin de wijder wordende kloof wordt onthuld tussen hoe snel organisaties software tot stand brengen en hoe snel ze die kunnen beveiligen. De report stelde vast dat 82 procent van de organisaties nu met securityschuld zit — een stijging met 11 procent ten opzichte van het jaar voordien — en dat 60 procent van die organisaties deze securityschuld als “kritiek” definieert, wat betekent dat geaccumuleerde kwetsbaarheden ernstig genoeg zijn om catastrofale schade aan een organisatie aan te richten indien die geëxploiteerd worden. De report raadt aan om een strategie van “Beschermen, prioriteiten bepalen en bewijzen” te hanteren om risico’s in 2026 en daarna op betekenisvolle wijze te verminderen.

Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20260224490243/nl/

Fig. 1: Veracode State of Software Security Report 2025 vs 2026 YoY Change

Dit rapport, het vlaggenschip van Veracode dat nu aan haar 16^e jaarlijkse editie toe is, analyseerde 1,6 miljoen unieke applicaties bij bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten over de hele wereld.

De bevindingen van 2026 leggen een fundamentele discrepantie bloot tussen de snelheid van ontwikkeling en de remediëringscapaciteit. Terwijl detectiecapaciteiten zijn verbeterd, neemt de backlog van niet-opgeloste kwetsbaarheden sneller toe dan dat teams die kunnen elimineren. Deze trend wordt verergerd door een piekstijging van 36 procent op jaarbasis in kwetsbaarheden met hoog risico, betiteld als gebreken die zowel ernstig als zeer exploiteerbaar zijn.

“De snelheid van softwareontwikkeling is pijlsnel gestegen, wat betekent dat het tempo waarin gebreken ontstaan de huidige capaciteit voor remediëring overtreft,” verklaart Chris Wysopal, Chief Security Evangelist van Veracode. “In weerwil van marginale vooruitgang in oplossingsscores, wordt securityschuld voor vele organisaties stilaan een veel groter probleem. Nu AI de snelheid van softwareontwikkeling op een nooit eerder gezien niveau heeft gebracht, moeten ondernemingen ervoor zorgen dat zij doordachte, intelligente keuzes maken om de golf van gebreken in te dammen en de risico’s ervan te minimaliseren.”

Belangrijkste punten uit de 2026 State of Software Security Report

De studie van dit jaar bepaalt de primaire thema’s die de maturiteit van softwarebeveiliging vormgeven in een wereld waar ontwikkeling aangestuurd door AI, ruimer wordende aanvalsoppervlakken en snellere releasecycli botsen met remediëringscapaciteit.

• Kritieke securityschuld wordt intenser: de stijging van 20 procent op jaarbasis in kritieke securityschuld wijst erop dat de accumulatie van risicodragende kwetsbaarheden ouder dan een jaar de remediëringscapaciteit overschrijdt, wat op zijn beurt aangeeft dat men dringend opnieuw moet overwegen hoe backlogs te beheren.
• Kwetsbaarheden met hoog risico vragen om een nieuwe vorm van prioriteitenbepaling: een relatieve stijging van 36 procent in gebreken die zowel als “ernstig” en als “zeer exploiteerbaar” worden geklasseerd, vraagt om een dringende verschuiving van een algemene ernstscore naar een prioriteitenbepaling gebaseerd op potentieel voor mogelijke aanvallen in de echte wereld.
• Detectie kent een bescheiden verbetering; maar remediëring niet: terwijl organisaties met succes minder gebreken vaststellen en hun detectiescores verbeteren, onthullen de gegevens een persistente druk om die snel genoeg op te lossen om het wijder wordende blootstellingsvenster te dichten.
• Open-sourcecomponenten houden risico’s buiten proportie in: libraries van derden en open-sourceafhankelijkheden zijn goed voor 66 procent van de meest gevaarlijke, langst durende kwetsbaarheden — een kattenbelletje dat hygiëne van derden nog een lange weg te gaan heeft, ondanks de tekenen van verbetering.
• De impact van AI: AI-ontwikkeling introduceert nieuwe patronen van kwetsbaarheden met hoog risico op grote schaal, terwijl remediëring aangestuurd door AI een geloofwaardig pad begint te bieden om de kloof te kunnen dichten.

Bruikbare inzichten en aanbevelingen

Om deze risico’s te bestrijden, pleit Veracode voor een verschuiving van enkel detectie naar een meer strategisch kader ten behoeve van ‘prioriteiten bepalen, beschermen en bewijzen’. Aan de hand van deze benadering kunnen organisaties hun “kroonjuwelen” prioritair stellen — de meest waardevolle systemen en applicaties die gevoelige gegevens bevatten, kernservices leveren of op de algehele bedrijfsactiviteiten impact hebben.

“We staan op een keerpunt waar sneller lopen op de tredmolen van het beheer van kwetsbaarheden niet langer een leefbare strategie is,” besluit Wysopal. “Succes vereist een moedwillige verschuiving. Teams moeten prioriteit geven aan de 11,3 procent gebreken die een gevaar in de echte wereld vormen, hun kritieke activa beschermen aan de hand van geautomatiseerde remediëring, en bewijzen dat hun beveiligingsgedrag voldoet aan de strenge vereisten van moderne conformiteit. Het gaat er niet om alles op te lossen, het gaat erom securityschuld te beheren door de meest ingrijpende risico’s die eruit voortvloeien te minimaliseren.”

De jaarlijkse State of Software Security Report van Veracode is een van de langst lopende en meest volledige visies op het landschap van het beheer van applicatierisico’s in deze sector.

Het volledige rapport van 2026 is beschikbaar op de website van Veracode. Neem deel aan de webinar op 26 februari om 11 uur a.m. ET om de auteurs van het rapport van dit jaar aan het woord te horen en een diepgaande analyse van de belangrijkste bevindingen te krijgen.

Over het State of Software Security-rapport

De State of Software Security van Veracode is gebaseerd op analyse van applicaties die aan statische analyse, dynamische analyse, analyse van softwaresamenstelling en/of handmatige penetratietesten zijn onderworpen via het op de cloud gebaseerde platform van Veracode. De dataset van dit jaar omvat 1,6 miljoen unieke applicaties die 141,3 miljoen onbewerkte bevindingen genereren — 115,6 miljoen uit statische analyse, 22,1 miljoen uit analyse van softwaresamenstelling en 3,6 miljoen uit dynamische analyse. Deze gegevens omvatten bedrijven van elke omvang, leveranciers van commerciële software, software-outsourcers en open-sourceprojecten over de hele wereld.

Over Veracode

Veracode is een wereldwijde leider in applicatierisicobeheer voor het AI-tijdperk. Het Veracode-platform, dat gebruik maakt van scans van triljoenen regels code en een eigen, door AI ondersteunde herstelengine, wordt wereldwijd door organisaties gebruikt voor het bouwen en onderhouden van veilige software, van codeontwikkeling tot cloudimplementatie. Duizenden van ‘s werelds toonaangevende ontwikkelings- en beveiligingsteams gebruiken Veracode elke seconde van elke dag om nauwkeurig en bruikbaar inzicht te krijgen in exploiteerbare risico’s, kwetsbaarheden in realtime te verhelpen en hun beveiligingsschuld op grote schaal te verminderen. Veracode is een meermaals bekroond bedrijf dat mogelijkheden biedt om de gehele levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode Fix, statische analyse, dynamische analyse, softwarecompositieanalyse, containerbeveiliging, applicatiebeveiligingsposturebeheer, detectie van schadelijke pakketten, pakketfirewall en penetratietesten.

Meer informatie op www.veracode.com, op de Veracode-blog en op LinkedIn en X.

Copyright © 2026 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk ook geregistreerd in andere rechtsgebieden. Alle andere productnamen, merken of logo’s zijn eigendom van hun respectievelijke eigenaren. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20260224490243/nl/

Contacts

Pers- en mediacontact
Katy Gwilliam

Hoofd internationale communicatie, Veracode

kgwilliam@veracode.com