20:34 uur 14-02-2024

Veracode onthult dat kritieke beveiligingsschuld met 75% kan worden verminderd met snelle herstelmaatregelen

  • Meer dan 70% van de organisaties kampt met beveiligingsschuld en bijna 50% heeft te maken met ‘kritieke’ schuld
  • State of Software Security 2024 stelt third-party code bloot als de grote boosdoener, waarbij tweederde van de kritieke schuld afkomstig is van open-sourcebibliotheken
  • Het oplossen van third-party fouten duurt 50% langer, maar de snelst werkende ontwikkelingsteams kunnen kritieke beveiligingsschuld met een factor vier verlagen

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een wereldleider op het gebied van intelligente softwarebeveiliging, onthult vandaag zijn jaarlijkse State of Software Security (SoSS)-rapport van 2024, dat licht werpt op de urgente kwestie van beveiligingsschuld in applicaties Beveiligingsschuld, in dit rapport gedefinieerd als fouten die langer dan een jaar onopgelost blijven, komen voor in 42 procent van de applicaties en 71 procent van de organisaties. Zorgwekkend is dat 46 procent van de organisaties aanhoudende, zeer ernstige fouten heeft die ‘kritieke’ beveiligingsschuld vormen, waardoor bedrijven een ernstig risico lopen wat betreft de impact op de vertrouwelijkheid, integriteit en beschikbaarheid.

Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20240214494344/nl/

State of Software Security 2024 Figure 25: Effect of flaw remediation speed on prevalence of security debt (Graphic: Business Wire)

State of Software Security 2024 Figure 25: Effect of flaw remediation speed on prevalence of security debt (Graphic: Business Wire)

Volgens het rapport vertoont ongeveer 63 procent van de applicaties fouten in first-party code, terwijl 70 procent fouten bevat in third-party code die via bibliotheken van derden wordt geïmporteerd. Dit benadrukt het belang van het testen van beide typen gedurende de gehele levenscyclus van softwareontwikkeling. De herstelpercentages variëren ook per soort fout: het oplossen van third-party fouten duurt 50 procent langer, waarbij de helft van de bekende fouten na elf maanden wordt verholpen, vergeleken met zeven maanden voor first-party fouten.

Er is echter goed nieuws: de zeer ernstige beveiligingsfouten in applicaties zijn sinds 2016 met de helft afgenomen, wat erop wijst dat er vooruitgang is geboekt in de softwarebeveiligingspraktijken en dat de snelheid van herstel een materiële impact heeft op kritieke beveiligingsschuld.

SoSS 2024 onthult dat ontwikkelingsteams die fouten het snelst oplossen, de kritieke beveiligingsschuld met 75 procent verminderen: van 22,4 procent van de applicaties naar iets meer dan vijf procent. Bovendien is het vier maal minder waarschijnlijk dat deze snelwerkende teams überhaupt kritieke beveiligingsschuld in hun applicaties laten materialiseren.

Chris Eng, Chief Research Officer bij Veracode, stelde: “Hoewel we verbeteringen blijven zien in het beveiligingslandschap, zijn deze bevindingen een krachtige impuls voor organisaties om hun beveiligingsschuld direct aan te pakken. Door prioriteit te geven aan het herstel van fouten, door zich te concentreren op beveiliging van third-party code en door efficiënte ontwikkelingspraktijken toe te passen, kunnen organisaties hun beveiligingsschuld aanzienlijk verminderen en de algehele staat van softwarebeveiliging over de hele linie verbeteren.”

Aanpakken van AI en de softwaretoeleveringsketen

In een tijdperk waarin AI (kunstmatige intelligentie) snel een revolutie teweegbrengt in de softwareontwikkeling, benadrukt het rapport een zorgwekkende trend. Chris verklaarde: “Ondanks de snelheid en efficiëntie die AI met zich meebrengt voor de softwareontwikkeling, produceert het niet noodzakelijkerwijs code die veilig is. Uit onderzoek is gebleken dat 36 procent van de door GitHub CoPilot gegenereerde code beveiligingsfouten bevat.” Deze proliferatie van onveilige code op grote schaal vormt een aanzienlijk risico voor organisaties en de softwaretoeleveringsketen, wat in de loop van de tijd leidt tot de accumulatie van beveiligingsschuld.

Risicoprioritering is van essentieel belang

Uit het onderzoek van Veracode bleek ook dat de herstelcapaciteit van teams beperkt is: slechts 64 procent van de applicaties heeft een herstelcapaciteit die voldoende is om kritieke beveiligingsschuld weg te werken. Sterker nog, slechts twee op de tien applicaties tonen een gemiddeld maandelijks herstelpercentage dat hoger is dan tien procent van alle beveiligingsfouten. Dit suggereert dat zelfs in gevallen waarin de oplossingscapaciteit van teams voldoende is, ze geen prioriteit geven aan de kritieke fouten.

Desondanks is er hoop op succes. Slechts drie procent van alle fouten betreft cruciale beveiligingsschuld, en deze subset vertegenwoordigt de grootste risicoblootstelling voor applicaties. Door prioriteit te geven aan die drie procent kunnen organisaties met gerichte inspanningen maximale risicoreductie bereiken.

Chris sloot af: “AI maakt ook de weg vrij voor een nieuwe grens op het gebied van softwarebeveiliging door organisaties in staat te stellen hun herstelinspanningen op te schalen en gemakkelijker de lange achterstand in beveiligingsschuld aan te pakken, evenals de nieuwe fouten die zich voordoen. De overgrote meerderheid van de CWE’s (Common Weakness Enumeration) met een ernstgraad van gemiddeld tot zeer hoog kunnen worden aangepakt via door AI gegenereerde codebewerkingen van Veracode Fix.”

Het volledige State of Software Security-rapport van 2024 is beschikbaar voor download op de Veracode-website. Bezoek de website om het rapport te raadplegen en dieper inzicht te krijgen in de bevindingen en aanbevelingen. Er is ook een blog beschikbaar voor lezing met de belangrijkste bevindingen uit het rapport.

-EINDE-

Over het State of Software Security-rapport

Het Veracode State of Software Security-rapport van 2024 analyseerde gegevens van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het onderzoek is gebaseerd op meer dan een miljoen (1.007.133) applicaties voor alle scantypen, 1.553.022 dynamische analysescans en 11.429.365 statische analysescans. Al deze scans leverden 96 miljoen onbewerkte statische bevindingen, 4 miljoen onbewerkte dynamische bevindingen en 12,2 miljoen onbewerkte analyseresultaten van de softwaresamenstelling op.

Over Veracode

Veracode is intelligente softwarebeveiliging. Het Veracode Software Security Platform vindt voortdurend fouten en kwetsbaarheden in elke fase van de moderne levenscyclus van softwareontwikkeling. Met behulp van krachtige AI die is getraind op een zorgvuldig samengestelde, vertrouwde dataset uit ervaring met het analyseren van biljoenen regels code, kunnen de klanten van Veracode fouten sneller en met hoge nauwkeurigheid oplossen. Veracode wordt vertrouwd door beveiligingsteams, ontwikkelaars en bedrijfsleiders van duizenden toonaangevende organisaties ter wereld en is de pionier die voortdurend opnieuw definieert wat intelligente softwarebeveiliging betekent.

Meer informatie op www.veracode.com , op Veracode blog en op LinkedIn en Twitter .

Copyright © 2024 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk geregistreerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Contacts

Voor meer informatie:

Katy Gwilliam

kgwilliam@veracode.com

Check out our twitter: @NewsNovumpr