16:47 uur 22-11-2022

73 procent van de retailtoepassingen bevat beveiligingslekken, maar slechts een kwart is verholpen

Lage reparatiepercentage benadrukt de noodzaak van waakzaamheid van detailhandelaren op het gebied van softwarebeveiliging in de aanloop naar Black Friday

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een toonaangevende wereldwijde leverancier van oplossingen voor het testen van moderne toepassingen, heeft vandaag onthuld dat bijna driekwart van de toepassingen in de retail- en horecasector beveiligingslekken bevat, maar dat slechts 25 procent daarvan wordt verholpen. Bovendien is 17 procent van deze gebreken gecategoriseerd als ‘zeer ernstig’, wat betekent dat ze een ernstig risico vormen voor het bedrijf als ze worden misbruikt. Nu 76 procent van de Amerikanen van plan is om op 25 november* de Black Friday-uitverkoop te bezoeken – en 56 procent van plan is om uitsluitend online** aankopen te doen – moeten retailers extra aandacht besteden aan de beveiliging van hun e-commercesystemen, digitale betalingsplatforms en toeleveringsketens.

De gegevens werden gepubliceerd in het jaarlijkse rapport van Veracode over de toestand van de softwarebeveiliging (SoSS) v12, die 20 miljoen scans analyseerde in een half miljoen toepassingen in de detailhandel, productie, gezondheidszorg, financiële diensten, technologie en overheid.

Chris Eng, Chief Research Officer bij Veracode, zegt: “Het behouden van de loyaliteit en het vertrouwen van klanten is prioriteit nummer één voor retailers, en dit zal tijdens de Black Friday-periode alleen maar toenemen. Met de gemiddelde kosten van een datalek in de retailsector berekend op 3,28 miljoen dollar***, is het implementeren van robuuste tools en praktijken om de applicaties die klanten gebruiken om te browsen en aankopen te doen te beveiligen, absoluut noodzakelijk.”

Ondanks het relatief lage aantal zwakke punten die worden hersteld, staat de detailhandel op de tweede plaats wat betreft het totale herstelpercentage, wat de noodzaak onderstreept van verbeteringen van de softwarebeveiliging door organisaties in alle sectoren. Eng zegt: “In vergelijking met andere sectoren zijn detailhandelaren beter in het repareren van gebreken wanneer deze worden ontdekt. Hoewel dit bemoedigend is, is het duidelijk dat er over de hele linie meer moet worden gedaan om foutidentificatie en herstel te integreren in de softwareontwikkeling, zodat kwetsbaarheden efficiënter kunnen worden aangepakt.”

Serverconfiguratie, onveilige afhankelijkheden en authenticatieproblemen zijn de meest voorkomende soorten toepassingsfouten in de meeste sectoren. De sector detailhandel en horeca volgt een vergelijkbaar patroon; deze sector heeft echter hogere percentages in bijna elke categorie van zwakke punten – wellicht als gevolg van de grotere functionele complexiteit van klantgerichte en backofficetoepassingen.

Foutopsporingstijden fluctueren in de detailhandel

Veracode analyseerde drie verschillende scantypes om vergelijkingen te maken van de reparatietijden in de sector: dynamic analysis security testing (DAST), static analysis security testing (SAST) en software composition analysis (SCA). Detailhandelaren bleken het snelst fouten te verhelpen die door DAST waren ontdekt: 70 dagen om het halfway point te bereiken, maar liefst 46 dagen sneller dan financiële diensten op de tweede plaats. Bij SAST en SCA viel de detailhandel echter in de middenmoot, met respectievelijk 346 en 470 dagen om het halfway point te bereiken.

In alle sectoren blijven zwakke punten in bibliotheken van derden die via SCA zijn ontdekt, langer bestaan dan die via SAST en DAST zijn gevonden: 30 procent van de kwetsbare bibliotheken is na twee jaar nog steeds niet opgelost. Voor de detailhandel loopt dat cijfer op tot 35 procent en ligt het meer dan zes maanden achter op het gemiddelde voor de hele sector. Toch kunnen retailers er zeker van zijn dat de kloof nooit te groot is om te dichten. Uit het rapport “De staat van softwarebeveiliging” van Veracode van 2021 blijkt namelijk dat 92 procent van de open source-fouten gemakkelijk kan worden verholpen met een eenvoudige update.

In de aanloop naar Black Friday, en bijna een jaar sinds de beruchte Log4j kwetsbaarheid voor het eerst werd gemeld, zullen retailers zeer alert zijn om de snelheid, efficiëntie en veiligheid van hun toepassingen te handhaven. Bedrijven moeten extra aandacht besteden aan het opsporen van kwetsbaarheden in software van derden met behulp van een combinatie van SCA en ontwikkeltools. Dankzij deze aanpak met Veracode kon Darius Radford, Application Security Architect bij speciaalzaak Floor & Decor, een volledig beeld krijgen van het risico dat kwetsbare bibliotheken in de software van het bedrijf vormen: “We konden snel alle plaatsen waar Log4j draaide achterhalen en de situatie herstellen.” Trey Tunnel, Chief Information Security Officer van Floor & Decor, voegde daaraan toe: “Onze klanten zijn onze topprioriteit. Met Veracode hebben we het vertrouwen dat onze software veilig is en – nog belangrijker – onze klanten hebben het vertrouwen dat onze software veilig is.”

De Staat van softwarebeveiliging v12 retail & hospitality snapshot van Veracode is hier beschikbaar om te downloaden en het volledige rapport is hier beschikbaar.

* Future Publishing, “Onderzoek naar de gevolgen van de stijgende inflatie”, juni 2022, https://go.future-advertising.com/Rising-Inflation-Research-Insights.html
** Dot Digital, “Black Friday Statistieken: Alles wat u moet weten (bijgewerkt 2022), Jenna Paton, 20 september 2022, https://dotdigital.com/blog/black-friday-cyber-monday-stats/
*** IBM Security and The Ponemon Institute, “Kosten van een datalek verslag 2022”, juli 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ

Over het State of Software Security-rapport

De staat van softwarebeveiliging (SoSS) v12 van Veracode analyseerde de volledige historische gegevens van Veracode-diensten en klanten. Dit is goed voor een totaal van meer dan een half miljoen toepassingen (592.720) die alle scantypes gebruikten, meer dan een miljoen dynamische analysescans (1.034.855), meer dan vijf miljoen statische analysescans (5.137.882) en meer dan 18 miljoen softwarecompositie analysescans (18.473.203). Al deze scans leverden 42 miljoen ruwe statische bevindingen op, 3,5 miljoen ruwe dynamische bevindingen en zes miljoen ruwe SCA-bevindingen.

De gegevens vertegenwoordigen grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. In de meeste analyses werd een applicatie slechts één keer geteld, zelfs als deze meerdere keren werd ingediend terwijl er kwetsbaarheden werden verholpen en nieuwe versies werden geüpload.

Over Veracode

Veracode is een toonaangevende AppSec-partner voor het creëren van veilige software, het verminderen van het risico op inbreuk op de beveiliging en het verhogen van de productiviteit van beveiligings- en ontwikkelingsteams. Hierdoor kunnen bedrijven die Veracode gebruiken hun bedrijf en de wereld vooruit helpen. Dankzij de combinatie van procesautomatisering, integraties, snelheid en reactiesnelheid helpt Veracode bedrijven nauwkeurige en betrouwbare resultaten te verkrijgen, zodat zij hun inspanningen kunnen richten op het verhelpen en niet alleen op het vinden van potentiële kwetsbaarheden. Lees meer op www.veracode.com, in het Veracode blog en op Twitter.

Copyright © 2022 Veracode, Inc. Alle rechten voorbehouden. Veracode is een gedeponeerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk gedeponeerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden genoemd, zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Contacts

Katy Gwilliam

kgwilliam@veracode.com

Check out our twitter: @NewsNovumpr