Financiële dienstverleners lossen de meeste softwarekwetsbaarheden op maar zijn relatief traag

| Veracode | 2 min | 08 december 2020 15:42
Copyright: Veracode
Veracode, de grootste internationale leverancier van oplossingen voor application security testing (AST), presenteert vandaag onderzoeksbevindingen waaruit blijkt dat de financiële dienstverleningsbranche als beste in staat is om softwarekwetsbaarheden te verhelpen en voorloopt op andere branches in het opspeuren van kwetsbaarheden in open source-componenten. Het verhelpen van open source-kwetsbaarheden is essentieel, omdat het attack surface van applicaties veel groter is dan veel ontwikkelaars denken wanneer open source libraries indirect worden toegevoegd.

Deze bevindingen zijn het resultaat van Veracodes State of Software Security Volume 11, waarvoor 130.000 applicaties van 2.500 bedrijven zijn geanalyseerd. Het onderzoek toont aan dat financiële dienstverleners het kleinste deel van applicaties met kwetsbaarheden in gebruik hebben, en de op één na laagste hoeveelheid ernstige kwetsbaarheden (waarin de maakindustrie vooroploopt). Ook wordt, vergeleken met andere branches, met 75% het hoogste percentage kwetsbaarheden verholpen. Toch blijkt uit het onderzoek ook dat financiële dienstverleners ongeveer zesenhalve maand nodig hebben om 50% van de gevonden kwetsbaarheden op te lossen. Dit duidt op een trager herstelproces vergeleken met andere branches.

“Het kost financiële dienstverleners gemiddeld meer dan zes maanden om openstaande kwetsbaarheden te halveren, ondanks dat ze uit alle branches het snelst kwetsbaarheden verhelpen”, zegt Chris Wysopal, Chief Technology Officer bij Veracode. “Maar ontwikkelaars binnen deze branche worden vaak beperkt door hun werkomgeving. Applicaties zijn doorgaans ouder, hebben een gemiddelde hoeveelheid kwetsbaarheden en werken niet zo consistent met een DevSecOps-aanpak dan wat je ziet bij andere branches. Met aanvullende training en door vast te houden aan best practices kunnen zij sneller problemen oplossen en eerder beginnen met het verminderen van de security debt.”

Belangrijke inzichten met betrekking tot financiële dienstverleners

Het onderzoek van Veracode wijst uit dat bepaalde DevSecOps-werkwijzen de software security aanzienlijk kunnen verbeteren. Uit het onderzoek blijkt bovendien dat financiële dienstverleners:
  • Vooroplopen in het verhelpen van kwetsbaarheden in hun open source software én het implementeren van een sterke regelmaat in het laten uitvoeren van analyses;
  • In de middenmoot eindigen als het aankomt op scanfrequentie en de integratie van security tests;
  • Gemiddeld geen gebruik maken van Dynamic Analysis (DAST) scantechnologieën om kwetsbaarheden op te sporen;
  • Bovengemiddeld presteren vergeleken met alle andere branches in het verhelpen van kwetsbaarheden omtrent cryptografie, input-validatie, Cross-Site Scripting en het beheer van inloggegevens – allemaal zaken die te maken hebben met de bescherming van de eindgebruikers van financiële applicaties.
Download het State of Software Security Volume 11 van Veracode voor meer informatie over veelvoorkomende kwetsbaarheden en andere inzichten, en download hier de SOSS 11 Financial Infosheet.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Veracode

Veracode is ’s werelds grootste onafhankelijke provider van oplossingen voor applicatiebeveiliging (AppSec). Het bedrijf is een toonaangevende AppSec-partner waarmee development-teams veilige software kunnen ontwikkelen, het risico op kwetsbaarheden kunnen verminderen, security kunnen verbeteren en hun productiviteit kunnen verhogen. Met Veracode kunnen ondernemingen hun visie waarmaken. Dankzij een gecombineerde focus op automatisering, integraties, procesoptimalisatie en snelheid helpt Veracode organisaties met accurate en betrouwbare data effectiever mogelijke kwetsbaarheden te vinden én te verhelpen.
Meer over Veracode

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029224512.jpg
Het no-nonsense internetbureau
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.