Productie haalt financiële dienstverlening in als sector met de minste softwarebeveiligingsfouten
72 procent van applicaties bevat kwetsbaarheden en 12 procent wordt beschouwd als ‘zeer ernstig,’ het laagste van alle geanalyseerde sectoren
Sector heeft nog steeds ruimte voor verbetering, met enkele van de laagste en langzaamste herstelpercentages, vooral voor open-source fouten
BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van testoplossingen voor applicatiebeveiliging, heeft vandaag onthuld dat de productiesector het laagste aantal softwarebeveiligingsfouten heeft, waardoor de financiële dienstlening, die vorig jaar de eerste plaats innam, werd onttroond. De gegevens werden gepubliceerd in het jaarlijkse State of Software Security (SoSS)-rapport v12 van het bedrijf, waarin 20 miljoen scans werden geanalyseerd in een half miljoen applicaties in de sectoren productie, gezondheidszorg, financiële dienstverlening, technologie, detailhandel en overheid.
Terwijl de industrie worstelde met toenemende druk op en vraag in de toeleveringsketen, kwam de productiesector in 2021 naar voren als de industrie die het grootste doelwit vormde voor cybercriminelen, waarbij misbruik van kwetsbaarheden werd geïdentificeerd als de belangrijkste initiële aanvalsvector*. Het beveiligen van de softwaretoeleveringsketen is daarom nooit een grotere prioriteit geweest, aangezien mandaten zoals de US Executive Order on Cybersecurity en de EU Cyber Resilience Act de kwestie flink in de schijnwerpers hebben gezet.
Chris Eng, Chief Research Officer bij Veracode, stelde: “Het is bemoedigend om in het afgelopen jaar minder fouten te zien, naarmate productieorganisaties van softwarebeveiliging een prioriteit blijven maken, vooral omdat technologische innovatie heeft geleid tot de toegenomen acceptatie van nieuwe platforms en omgevingen. Vorig jaar ontdekten we dat 76 procent van de productie-apps fouten bevatte, waarvan 21 procent als ‘zeer ernstig’ werd beschouwd. Die cijfers zijn flink gedaald.”
Open-source beveiligingsfouten blijven langer bestaan
Ondanks de positieve resultaten in termen van de prevalentie van fouten, onthulde het onderzoek van Veracode dat de productiesector, naast gezondheidszorg en technologie, het laagste percentage fouten heeft dat wordt verholpen zodra ze zijn ontdekt. Verontrustender is de tijd die nodig is om de fouten te herstellen: productiesectoren melden de langzaamste termijnen voor fouten die zijn ontdekt door statische analyse (SAST), dynamische analyse (DAST) en softwarecompositieanalyse (SCA). Zo blijft ongeveer 55 procent van de fouten die door statische analyse worden ontdekt, na een jaar onopgelost, en blijft de productiesector consequent vier maanden achter bij het algemene gemiddelde.
Door SCA gevonden fouten in bibliotheken van derden blijven in alle sectoren langer rondwaren, waarbij 30 procent van de kwetsbare bibliotheken na twee jaar onopgelost blijft. Voor de productiesector stijgt die statistiek tot meer dan 40 procent, waardoor het meer dan zes maanden achterblijft bij het sectoroverschrijdende gemiddelde.
Eng verklaarde: “Dit kan worden beïnvloed door een groter aantal gespecialiseerde, industriële toepassingen die minder, maar moeilijker op te lossen fouten hebben dan in andere industrieën. Deze resultaten versterken de noodzaak voor fabrikanten om zich te concentreren op het tijdig aanpakken van fouten.”
Sommige fouten komen vaker voor dan andere
Het onderzoek richtte zich ook op het type fouten in programmeertalen die worden gebruikt door toepassingen in de productiesector, waaronder Java, .NET en JavaScript. Het onderzoek van Veracode onderzocht de soorten fouten die van invloed zijn op applicaties en ontdekte dat serverconfiguratie, onveilige afhankelijkheden en informatielekken tot de meest voorkomende in de productiesector behoren.
Eng concludeerde: “De veiligheid van bedrijven en kritieke infrastructuur hangt grotendeels af van de beveiliging van de softwaretoeleveringsketen en deze kan alleen worden bereikt door inzicht te hebben in de componenten ervan. Door beveiliging vroeg in de levenscyclus van softwareontwikkeling te integreren en tools te gebruiken om een Software Bill of Materials (SBOM) te genereren, krijgen fabrikanten de zekerheid dat de producten die ze op de markt brengen minder kwetsbaarheden hebben en dus minder risico’s.”
De Veracode State of Software Security v12-productiemomentopname kan hier worden gedownload en het volledige rapport is hier beschikbaar.
* IBM Security, ‘X-Force Threat Intelligence Index’, februari 2022
Over het State of Software Security-rapport
De Veracode State of Software Security (SoSS) v12 analyseerde de volledige historische gegevens van Veracode-diensten en -klanten. Dit is goed voor in totaal meer dan een half miljoen applicaties (592.720) die alle scantypes gebruikten, meer dan een miljoen dynamische analysescans (1.034.855), meer dan vijf miljoen statische analysescans (5.137.882) en meer dan 18 miljoen softwarecompositieanalysescans (18.473.203). Al die scans leverden 42 miljoen onbewerkte statische bevindingen, 3,5 miljoen onbewerkte dynamische bevindingen en zes miljoen onbewerkte SCA-bevindingen op.
De gegevens vertegenwoordigen grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. In de meeste analyses werd een applicatie slechts één keer geteld, zelfs als deze meerdere keren werd ingediend terwijl er kwetsbaarheden werden verholpen en nieuwe versies werden geüpload.
Over Veracode
Veracode is een toonaangevende AppSec-partner voor het maken van veilige software, het verminderen van het risico op inbreuken op de beveiliging en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Hierdoor kunnen bedrijven die Veracode gebruiken hun bedrijf, en ook de wereld, vooruithelpen. Met de combinatie van procesautomatisering, integraties, snelheid en reactievermogen helpt Veracode bedrijven om nauwkeurige en betrouwbare resultaten te krijgen om hun inspanningen te richten op het oplossen van potentiële kwetsbaarheden, en niet alleen op het vinden ervan. Lees meer op www.veracode.com, op de Veracode-blog en op Twitter.
Copyright © 2022 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden genoemd, zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20221019005134/nl/
Contacts
Katy Gwilliam
kgwilliam@veracode.com