22:57 uur 23-08-2022

Software voor financiële dienstverlening heeft minder beveiligingsfouten dan de meeste industrieën

Ondanks de lage prevalentie van fouten, blijft de financiële sector achter als het gaat om het herstelpercentage

30 procent van de open-sourcefouten blijft na twee jaar onopgelost

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van testoplossingen voor applicatiebeveiliging, heeft vandaag gegevens vrijgegeven waaruit blijkt dat de financiële dienstverleningssector tot de beste behoort wat betreft het totale foutpercentage in vergelijking met andere sectoren, maar een van de laagste herstelpercentages heeft voor softwarebeveiligingsfouten. De sector behoort ook tot de middenmoot wat betreft zeer ernstige fouten, waarbij 18 procent van de applicaties een ernstige kwetsbaarheid bevat. Dit suggereert dat financiële bedrijven prioriteit moeten geven aan het identificeren en verhelpen van de fouten die er het meest toe doen.

De bevindingen werden uiteengezet in het jaarlijkse State of Software Security-rapport v12, waarin 20 miljoen scans verspreid over een half miljoen applicaties in de sectoren financiën, technologie, productie, detailhandel, gezondheidszorg en overheid werden geanalyseerd. In de zes sectoren heeft de financiële sector met 73 procent het op één na laagste percentage applicaties met beveiligingsfouten. In het rapport van vorig jaar had de industrie het laagste aantal softwarebeveiligingsfouten van alle sectoren, maar werd het in het onderzoek van dit jaar naar de tweede plaats gedrongen door productie. Ondanks dat er in het algemeen minder fouten zijn, staat de financiële dienstverleningssector, samen met technologie en overheid, op de laatste plaats voor het laagste percentage fouten dat wordt verholpen.

“Een van de voordelen van zoveel jaren de softwareontwikkelingsgemeenschap van dienst zijn, is dat Veracode in de loop van de tijd veranderingen in ontwikkelingspraktijken in verschillende sectoren kan zien. We zijn erachter gekomen dat applicaties voor financiële diensten weliswaar minder beveiligingsfouten hebben dan vorig jaar, maar dat de sector achterblijft bij andere sectoren als het gaat om het herstelpercentage. Ons onderzoek toonde aan dat beveiligingstraining de herstelsnelheid aanzienlijk kan verbeteren, en dat bedrijven waarvan de ontwikkelingsteams praktijktraining hadden gevolgd met behulp van applicaties uit de werkelijkheid, de fouten 35 procent sneller herstelden dan die zonder een dergelijke training,” aldus Chris Eng, Chief Research Officer bij Veracode.

De wereldwijde toeleveringsketen voor software beveiligen

Hoewel er ongetwijfeld nog ruimte is voor vooruitgang op het gebied van zowel foutprevalentie als herstelpercentages, lossen financiële dienstverleners, als ze uiteindelijk tot actie overgaan , kwetsbaarheden sneller op dan de meeste organisaties die kwetsbaarheden oplossen.

Eng stelde: “Het Amerikaanse uitvoeringsbesluit betreffen cybersecurity, naast mandaten voor beveiligingscontroles met betrekking tot open-sourcegebruik, zoals de AVG en de cybersecurity-voorschriften van het Department of Financial Services van New York, heeft het belang benadrukt van het beveiligen van de softwaretoeleveringsketen. Omdat het een sterk gereguleerde sector is, verklaart dit misschien de relatieve snelheid van de financiële sector bij het aanpakken van kwetsbare bibliotheken die worden ontdekt via softwarecompositieanalyse (SCA).”

Fouten in bibliotheken van derden die via SCA worden gevonden, blijven in alle sectoren langer bestaan, waarbij 30 procent na twee jaar nog steeds niet is opgelost. Als het echter gaat om het aanpakken van open-source-kwetsbaarheden, herstelt de financiële sector gedurende het eerste jaar in hetzelfde tempo als andere sectoren, maar wordt vervolgens het tempo versneld om een maand te winnen ten opzichte van het gemiddelde van alle sectoren.

Hoewel de financiële sector beter presteert dan de meeste andere sectoren qua hersteltijden voor fouten die worden ontdekt via dynamische en statische analyse en SCA, bleek uit het onderzoek dat er nog voldoende ruimte is voor voortdurende verbetering als we kijken naar het aantal dagen dat nodig is om 50 procent van de fouten op te lossen: 116 dagen voor dynamische analyse, 385 dagen voor SCA en 288 dagen voor statische analyse. Met componenten van derden die maar liefst 90 procent* van de codebase van een applicatie uitmaken, vermindert het vroeg en vaak scannen met behulp van een combinatie van testtypen de ongeplande noodherstelwerkzaamheden en wordt zo het risico op het introduceren van beveiligingsfouten van derden in software verkleind.

De momentopname voor financiële dienstverlening van de Veracode State of Software Security v12 kan hier worden gedownload, en een video van de bevindingen is hier te bekijken.

* The Linux Foundation Statista, Joseph Perlow, “A Summary of Census II: Open Source Software Application Libraries the World Depends On”: https://www.statista.com/statistics/617136/digital-population-worldwide/, 7 maart 2022

Over het State of Software Security-rapport

Het rapport State of Software Security (SoSS) v12 van Veracode analyseerde de volledige historische gegevens van de diensten en klanten van Veracode. Dit is goed voor in totaal meer dan een half miljoen applicaties (592.720) die gebruik maakten van alle scantypen, meer dan een miljoen dynamische analysescans (1.034.855), meer dan vijf miljoen statische analysescans (5.137.882) en meer dan 18 miljoen softwarecompositieanalysescans (18.473.203). Al die scans leverden 42 miljoen onbewerkte statische bevindingen, 3,5 miljoen onbewerkte dynamische bevindingen en zes miljoen onbewerkte SCA-bevindingen op.

De gegevens vertegenwoordigen grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. In de meeste analyses werd een applicatie slechts één keer geteld, zelfs als deze meerdere keren werd ingediend terwijl er kwetsbaarheden werden verholpen en nieuwe versies werden geüpload.

Over Veracode

Veracode is een toonaangevende AppSec-partner voor het maken van veilige software, het verminderen van het risico op inbreuken op de beveiliging en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Als gevolg hiervan kunnen bedrijven die Veracode gebruiken hun bedrijf en de wereld vooruithelpen. Met zijn combinatie van procesautomatisering, integraties, snelheid en reactievermogen helpt Veracode bedrijven om nauwkeurige en betrouwbare resultaten te krijgen om hun inspanningen te richten op het oplossen van potentiële kwetsbaarheden, en niet alleen op het vinden ervan. Lees meer op www.veracode.com, op de Veracode-blog en op Twitter.

Copyright © 2022 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden genoemd, zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Contacts

Neem voor meer informatie contact op met:

Katy Gwilliam

kgwilliam@veracode.com

Check out our twitter: @NewsNovumpr