Veracode publiceert State of Software Security deel 11

110308_Veracode

Veracode, de grootste internationale leverancier van oplossingen voor application security testing (AST), presenteert vandaag zijn State of Software Security (SOSS) rapport deel 11. Het rapport toont onder meer aan dat de meeste applicaties minimaal één beveiligingslek bevatten en dat het verhelpen van dergelijke kwetsbaarheden gewoonlijk maanden kost. In het afgelopen jaar zijn 130.000 applicaties geanalyseerd, waarbij bleek dat het teams gemiddeld een half jaar kost om de helft van de kwetsbaarheden te verhelpen die ze aantreffen.

Het rapport presenteert ook een aantal best practices waarmee kwetsbaarheden aanzienlijk sneller verholpen kunnen worden. Veracode maakt daarbij onderscheid tussen factoren waar de teams veel controle over hebben (‘nurture’) en factoren waar ze nauwelijks controle over hebben (‘nature’). Veracode beschouwt factoren zoals de grootte van applicaties en de organisatie of de bestaande security debt* als ‘nature’, terwijl ‘nurture’ gaat over acties die teams kunnen ondernemen, zoals de regelmaat en frequentie van scans en scannen via API’s.

Kwetsbaarheden verhelpen: nature of nurture?
SOSS 11 laat zien dat kwetsbaarheden met moderne DevSecOps methoden veel sneller worden opgelost. Door bijvoorbeeld meerdere soorten applicatie securityscans te gebruiken, door in kleinere of modernere apps te werken, en door securitytesten via een API in de pijplijn te verwerken, kan de tijd waarin kwetsbaarheden worden verholpen sterk worden verkort, zelfs in apps die van nature minder ideaal zijn.

“Het doel van software security is niet om applicaties iedere keer meteen perfect te schrijven, maar om kwetsbaarheden tijdig op te sporen en volledig te verhelpen”, zegt Chris Eng, Chief Research Officer bij Veracode. “Met de juiste training en tools kunnen ontwikkelaars zelfs in de meest uitdagende omgevingen nog specifieke acties ondernemen om de algehele security van de applicatie te verbeteren.”

Andere belangrijke conclusies uit het SOSS11 rapport:

  • Kwetsbare applicaties komen veel voor: 76% van de applicaties heeft minimaal één beveiligingslek, maar slechts 24% heeft ook echt ernstige lekken. Het is een goed teken dat de meeste applicaties geen grote kwetsbaarheden hebben die de applicatie echt gevaarlijk maken. Door regelmatig te scannen is het mogelijk om de doorlooptijd van het verhelpen van de helft van de ontdekte kwetsbaarheden met meer dan drie weken te verkorten.
  • Open source vertoont steeds meer kwetsbaarheden: 70% van de applicaties heeft minimaal één kwetsbaarheid overgenomen uit open source libraries. SOSS 11 constateert ook dat 30% van de applicaties meer kwetsbaarheden heeft in de open source libraries dan in de zelf ontwikkelde code. De belangrijkste les is dat software security om een volledig beeld vraagt, waarbij nadrukkelijk ook wordt gekeken naar de code van derden die in applicaties wordt toegepast.
  • Meerdere scantypes maken DevSecOps effectiever: kwetsbaarheden worden sneller opgelost als teams gebruikmaken van een combinatie van verschillende scantypes, zoals static analysis (SAST), dynamic analysis (DAST) en software composition analysis (SCA). Teams die zowel SAST als DAST gebruiken, weten de helft van de kwetsbaarheden 24 dagen sneller op te lossen.
  • Automatiseren maakt verschil: teams die securitytesten automatiseren in de Software Development Life Cycle (SDLC), lossen de helft van de kwetsbaarheden 17,5 dag sneller op dan teams die niet automatiseren.
  • Security debt inlossen is cruciaal: in eerder onderzoek (SOSS 10) constateerde Veracode al dat regelmatig applicaties scannen de tijd om kwetsbaarheden te verhelpen aanzienlijk kan verkorten. Het vandaag gepresenteerde rapport laat zien dat het inlossen van de security debt* (het verhelpen van oudere, al langer bekende kwetsbaarheden) het totale risico fors kan verkleinen. Oudere applicaties met veel kwetsbaarheden zijn vaak veel lastiger te repareren: gemiddeld kost het bij dit soort applicaties 63 dagen méér om de helft van de kwetsbaarheden te verhelpen.

* ‘Debt’, als in ‘technical debt’ en ‘security debt’, staat in dit verband voor de ‘schuld’ die ontstaat doordat in het verleden voor een gemakkelijke oplossing is gekozen, in plaats van voor een betere oplossing die wellicht meer tijd hadden gekost, maar in een later stadium minder problemen had opgeleverd. Ontwikkelaars worden soms opgezadeld met een schuld uit het verleden (nature), maar hebben ook zelf de keuze om een schuld op te bouwen of in te lossen (nurture).

Download hier Veracode’s State of Software Security deel 11 en lees hier waarom Veracode de beste partner is voor DevSecOps.

Meer over
Lees ook
Tableau en Einstein Analytics fuseren: Einstein Analytics wordt Tableau CRM

Tableau en Einstein Analytics fuseren: Einstein Analytics wordt Tableau CRM

Tableau Software onthulde tijdens zijn jaarlijkse Tableau Conference zijn plannen voor de integratie van Einstein Analytics van Salesforce met Tableau. De combinatie levert organisaties het meest uitgebreide en diepgaande analyseplatform op dat er op de markt beschikbaar is. Einstein Analytics zal verdergaan onder de naam Tableau CRM

Rockwell Automation komt met belangrijke updates voor de Studio 5000 design software

Rockwell Automation komt met belangrijke updates voor de Studio 5000 design software

Rockwell Automation komt met een aantal belangrijke uitbreidingen van de Studio 5000 design software. Zo is er een nieuwe Simulation Interface tool toegevoegd en is de Application Code Manager geüpdated. Industriёle engineers kunnen daardoor niet alleen op een efficiёntere manier machines ontwikkelen, maar ze kunnen nu ook een groot deel van hun werkprocessen...

Splunk presteert beter op Hyper Converged Infrastructure

Splunk presteert beter op Hyper Converged Infrastructure

Terwijl de public cloud vanwege de verborgen kosten als alternatief voor een private IT-infrastructuur onder vuur ligt, zien wel steeds meer cloud native applicaties het levenslicht. Helder gedefinieerde API’s en een ruime keuze in tooling maken de cloud tot het walhalla van de applicatie-ontwikkelaars. Hun voorkeur gaat steeds meer in de richting van...