Veracode publiceert State of Software Security deel 11

| Veracode | 4 min | 29 oktober 2020 10:39
Afbeelding: De stand van software security in één oogopslag | Copyright: Veracode
  • De helft van de kwetsbaarheden in software is een half jaar na ontdekking nog niet opgelost
  • De reparatietijd van apps met een ‘technical debt’ is tweemaal zo hoog
  • 76% van de applicaties heeft minimaal één beveiligingslek
Veracode, de grootste internationale leverancier van oplossingen voor application security testing (AST), presenteert vandaag zijn State of Software Security (SOSS) rapport deel 11. Het rapport toont onder meer aan dat de meeste applicaties minimaal één beveiligingslek bevatten en dat het verhelpen van dergelijke kwetsbaarheden gewoonlijk maanden kost. In het afgelopen jaar zijn 130.000 applicaties geanalyseerd, waarbij bleek dat het teams gemiddeld een half jaar kost om de helft van de kwetsbaarheden te verhelpen die ze aantreffen.

Het rapport presenteert ook een aantal best practices waarmee kwetsbaarheden aanzienlijk sneller verholpen kunnen worden. Veracode maakt daarbij onderscheid tussen factoren waar de teams veel controle over hebben (‘nurture’) en factoren waar ze nauwelijks controle over hebben (‘nature’). Veracode beschouwt factoren zoals de grootte van applicaties en de organisatie of de bestaande security debt* als ‘nature’, terwijl ‘nurture’ gaat over acties die teams kunnen ondernemen, zoals de regelmaat en frequentie van scans en scannen via API’s.

Kwetsbaarheden verhelpen: nature of nurture?

SOSS 11 laat zien dat kwetsbaarheden met moderne DevSecOps methoden veel sneller worden opgelost. Door bijvoorbeeld meerdere soorten applicatie securityscans te gebruiken, door in kleinere of modernere apps te werken, en door securitytesten via een API in de pijplijn te verwerken, kan de tijd waarin kwetsbaarheden worden verholpen sterk worden verkort, zelfs in apps die van nature minder ideaal zijn.

“Het doel van software security is niet om applicaties iedere keer meteen perfect te schrijven, maar om kwetsbaarheden tijdig op te sporen en volledig te verhelpen”, zegt Chris Eng, Chief Research Officer bij Veracode. “Met de juiste training en tools kunnen ontwikkelaars zelfs in de meest uitdagende omgevingen nog specifieke acties ondernemen om de algehele security van de applicatie te verbeteren.”

Andere belangrijke conclusies uit het SOSS11 rapport:
  • Kwetsbare applicaties komen veel voor: 76% van de applicaties heeft minimaal één beveiligingslek, maar slechts 24% heeft ook echt ernstige lekken. Het is een goed teken dat de meeste applicaties geen grote kwetsbaarheden hebben die de applicatie echt gevaarlijk maken. Door regelmatig te scannen is het mogelijk om de doorlooptijd van het verhelpen van de helft van de ontdekte kwetsbaarheden met meer dan drie weken te verkorten.
  • Open source vertoont steeds meer kwetsbaarheden: 70% van de applicaties heeft minimaal één kwetsbaarheid overgenomen uit open source libraries. SOSS 11 constateert ook dat 30% van de applicaties meer kwetsbaarheden heeft in de open source libraries dan in de zelf ontwikkelde code. De belangrijkste les is dat software security om een volledig beeld vraagt, waarbij nadrukkelijk ook wordt gekeken naar de code van derden die in applicaties wordt toegepast.
  • Meerdere scantypes maken DevSecOps effectiever: kwetsbaarheden worden sneller opgelost als teams gebruikmaken van een combinatie van verschillende scantypes, zoals static analysis (SAST), dynamic analysis (DAST) en software composition analysis (SCA). Teams die zowel SAST als DAST gebruiken, weten de helft van de kwetsbaarheden 24 dagen sneller op te lossen.
  • Automatiseren maakt verschil: teams die securitytesten automatiseren in de Software Development Life Cycle (SDLC), lossen de helft van de kwetsbaarheden 17,5 dag sneller op dan teams die niet automatiseren.
  • Security debt inlossen is cruciaal: in eerder onderzoek (SOSS 10) constateerde Veracode al dat regelmatig applicaties scannen de tijd om kwetsbaarheden te verhelpen aanzienlijk kan verkorten. Het vandaag gepresenteerde rapport laat zien dat het inlossen van de security debt* (het verhelpen van oudere, al langer bekende kwetsbaarheden) het totale risico fors kan verkleinen. Oudere applicaties met veel kwetsbaarheden zijn vaak veel lastiger te repareren: gemiddeld kost het bij dit soort applicaties 63 dagen méér om de helft van de kwetsbaarheden te verhelpen.
Download hier Veracode’s State of Software Security deel 11 en lees hier waarom Veracode de beste partner is voor DevSecOps.

*) ‘Debt’, als in ‘technical debt’ en ‘security debt’, staat in dit verband voor de ‘schuld’ die ontstaat doordat in het verleden voor een gemakkelijke oplossing is gekozen, in plaats van voor een betere oplossing die wellicht meer tijd hadden gekost, maar in een later stadium minder problemen had opgeleverd. Ontwikkelaars worden soms opgezadeld met een schuld uit het verleden (nature), maar hebben ook zelf de keuze om een schuld op te bouwen of in te lossen (nurture).

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Veracode

Veracode is ’s werelds grootste onafhankelijke provider van oplossingen voor applicatiebeveiliging (AppSec). Het bedrijf is een toonaangevende AppSec-partner waarmee development-teams veilige software kunnen ontwikkelen, het risico op kwetsbaarheden kunnen verminderen, security kunnen verbeteren en hun productiviteit kunnen verhogen. Met Veracode kunnen ondernemingen hun visie waarmaken. Dankzij een gecombineerde focus op automatisering, integraties, procesoptimalisatie en snelheid helpt Veracode organisaties met accurate en betrouwbare data effectiever mogelijke kwetsbaarheden te vinden én te verhelpen.
Meer over Veracode

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.