Omdat ontwikkelaars het moeilijk hebben om aan security debt voorrang te geven, kondigt Veracode haar nieuwste innovaties aan om kritieke risico’s op te sporen en samen te voegen
Nieuw onderzoek van Veracode wijst uit dat ontwikkelaars minder ernstige gebreken met grotere urgentie oplossen dan ernstige gebreken; nieuwe capaciteiten stellen organisaties in staat om voorrang te geven aan de oplossing die het belangrijkst is
LAS VEGAS–(BUSINESS WIRE)– Black Hat USA Conference (stand #2536) – Veracode, een wereldleider op gebied van Application Risk Management, kondigde vandaag platforminnovaties aan om organisaties te helpen security debt in hun groeiende aanvaloppervlak bloot te leggen, de prioriteit ervan te bepalen en deze security debt te verminderen. Universal Connector en Application Security Heatmap, de twee nieuwste capaciteiten van Longbow aangestuurd door Veracode, zorgen ervoor dat organisaties snel bevindingen uit om het even welke bron kunnen connecteren en de applicaties te zien die het grootste risico met zich meebrengen. Samen zorgen de Universal Connector en de Application Security Heatmap voor duidelijke, werkbare inzichten in activa en problemen, zodat corrigerende acties kunnen worden ondernomen, die men voorrang geeft aan de hand van kwantificeerbaar risico.
Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20240801250457/nl/
Figure 1: State of Software Security 2024 Language Snapshot (Graphic: Business Wire)
“De combinatie van toenemende security debt, een uitbreidend aanvalsoppervlak dat nog meer kwetsbaar wordt door generatieve AI, en een overweldigend volume security alerts maken het voor organisaties een uitdaging om te weten te komen aan welke applicatierisico’s zij prioriteit moeten geven,” zegt Chris Eng, Chief Research Officer van Veracode. “Ons onderzoek ‘State of Software Security’ toont immers aan dat heel wat organisaties hun aandacht meer toespitsen op het oplossen van minder ernstige gebreken in plaats van kritische gebreken. Security-leiders hebben technologie nodig die hen in staat stelt om applicatierisico’s effectief bloot te leggen en te beheren, om vervolgens dit risico te verminderen door de aandacht te richten op de problemen die het belangrijkst zijn binnen hun hele aanvalsoppervlak.”
Prioriteit van security debt bepalen: kritiek vs niet-kritiek
In haar State of Software Security 2024 Language Snapshot onthulde Veracode de variërende prevalentie van “kritieke” en “niet-kritieke” security debt in applicaties die in verschillende talen zijn geschreven. Kritieke security debt wordt in deze report gedefinieerd als zeer ernstige gebreken die langer dan een jaar onopgelost blijven. Indien zij worden geëxploiteerd, kunnen deze gebreken de integriteit en beschikbaarheid van organisaties ernstig in gevaar brengen.
Het onderzoek stelde vast dat terwijl de meeste security debt in codes van eerste hand schuilt, geschreven door ontwikkelaars in dienst van het bedrijf, de meest kritieke security debt in codes van derden schuilt (bijv. open-source software geïmporteerd in de codebase). Zo schuilt 80 procent kritieke debt in Java-apps en 63 procent in JavaScript-apps in codes van derden. De report stelde ook vast dat ongeveer 51 procent kritieke gebreken in Java-apps een security debt worden, terwijl slechts ongeveer 45 percent lage tot mediumhoge gebreken zich ontwikkelen tot een security debt.
Eng licht toe: “Nu het volume securitygebreken de spuigaten uit loopt, geven ontwikkelaars geen voorrang aan gebreken die het meeste risico inhouden. Hoewel de aandacht op niet-kritieke gebreken richten wellicht tot een aantal snelle oplossingen kan leiden, zouden ontwikkelaars hun beperkte capaciteit beter gebruiken om te werken aan het oplossen van kritieke gebreken met de grootste potentiële impact op security.”
Zichtbaarheid en prioriteiten bepalen voorop stellen: Universal Connector & Application Security Heatmap
Op basis van Veracode’s overname van Longbow Security in april dit jaar en de introductie van de Repo Risk Visibility & Analysis-capaciteit van Longbow in mei, zijn Universal Connector en Application Security Heatmap ontworpen door ontwikkelaars met oog voor de tijd. De capaciteiten zorgen voor operationeel overzicht om ontwikkelaars en securityteams te helpen om de belangrijkste oplossingen voor groeiende security debt in hun applicaties op te sporen en er prioriteit aan te geven.
Universal Connector biedt organisaties snel toegang tot gegevens uit uiteenlopende bronnen die zij andes niet in het Longbow-platform konden brengen. Dit betekent dat ze niet op een tool-specifieke connector hoeven te wachten. De Application Security Heatmap verbindt de applicatie terug naar de eigenaar ervan en laat een risicotrend van 90 dagen zien, maar maakt ook personalisering van de risicogrens mogelijk om aan het beleid van de organisatie te voldoen. Applicatie securityteams en ontwikkelaars kunnen elke applicatie analyseren, de verdeling van risico weergeven en aanbevelingen voor de Best Next Action™ implementeren om dat risico op te lossen.
“Nu organisaties proberen om de stijgende kritieke security debt te vinden en op te lossen, is de behoefte aan op risico gerichte zichtbaarheid en prioriteitenbepaling duidelijk,” aldus Derek Maki, vicevoorzitter productbeheer van Veracode. “Dankzij de nieuwe capaciteiten in het Longbow-platform krijgen onze klanten een beter begrip van de meest risicovolle applicaties van hun organisatie, plus de unieke capaciteit om de vijf belangrijkste oplossingen met de meeste impact voor verbetering te vinden.”
Dankzij de overname van Longbow sluit Veracode de kloof tussen ontwikkeling en securityteams, met zichtbaarheid van coderepositories tot cloudassets en runtime. Longbow identificeert ook infrastructuur-als-code en misconfiguratierisico voor cloudassets die hun oorsprong in repositories vinden.
De Longbow Universal Connector en Application Security Heatmap zijn onmiddellijk beschikbaar. Voor meer informatie raadpleegt u de website of bekijk het interview met Brian Roche, CEO van Veracode, en Derek Maki.
D volledige State of Software Security 2024 Language Snapshot is beschikbaar op de website van Veracode.
Bezoekers aan de Black Hat USA Conference, van 3 tot 8 augustus 2024, vinden meer informatie over het platform van Veracode en deze nieuwe functies door een bezoek te brengen aan stand #2536 van Veracode voor een demo.
Over het State of Software Security-rapport
Het Veracode State of Software Security-rapport van 2024 analyseerde gegevens van grote en kleine bedrijven, commerciële softwareleveranciers, software-outsourcers en open-sourceprojecten. Het onderzoek is gebaseerd op meer dan een miljoen (1.007.133) applicaties voor alle scantypen, 1.553.022 dynamische analysescans en 11.429.365 statische analysescans. Al deze scans leverden 96 miljoen onbewerkte statische bevindingen, 4 miljoen onbewerkte dynamische bevindingen en 12,2 miljoen onbewerkte analyseresultaten van de softwaresamenstelling op.
Over Veracode
Veracode is een wereldleider op gebied van Application Risk Management voor het AI-tijdperk. Op basis van biljoenen regels met codescans en een eigen, via AI geassisteerde herstelmachine, vertrouwen organisaties van over de hele wereld op het platform van Veracode om veilige software te maken en te onderhouden, van de creatie van code tot cloudontplooiing. Duizenden toonaangevende ontwikkelings- en securityteams van over de hele wereld gebruiken Veracode elke seconde van elke dag om nauwkeurige, bruikbare zichtbaarheid te krijgen op exploiteerbaar risico, realtime herstel van kwetsbaarheden te verwezenlijken en hun securitydebt op schaal te verminderen. Veracode is een bedrijf dat vele awards werd toegekend en dat capaciteiten biedt om de hele levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, en Penetration Testing.
Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.
Copyright © 2024 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en is mogelijk geregistreerd in bepaalde andere rechtsgebieden. Alle andere productnamen, merken of logo’s behoren toe aan hun respectieve houders. Alle andere hierin genoemde handelsmerken zijn eigendom van hun respectievelijke eigenaren.
Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.
Bekijk het oorspronkelijke bericht op businesswire.com: https://www.businesswire.com/news/home/20240801250457/nl/
Contacts
Voor meer informatie neemt u contact op met:
Katy Gwilliam
kgwilliam@veracode.com