Bijna alle Java apps bevatten beveiligingsproblemen
In software worden allerlei componenten met regelmaat gebruikt. Dit is echter niet zonder risico. Zo bevat pakweg 97% van alle Java applicaties een component waarin ten minste één bekend beveiligingsprobleem aanwezig is.
Dit blijkt uit het State of Software Security 2016 rapport van VeraCode. Zo wijst VeraCode op een deserialisatie-kwetsbaarheid in een versie van Apache Commons Collection, die inmiddels is verholpen via een update. De kwetsbare versie blijkt echter door 26,3% van alle Java apps te worden gebruikt. Deze apps zijn hierdoor nog steeds kwetsbaar voor het probleem.
‘Controleer eigen code op problemen’
Het bedrijf stelt dat indien een beveiligingsprobleem opduikt in third-party software, dit voor organisaties aanleiding zou moeten zijn om hun eigen code te controleren op de bron van dit probleem. Ook benadrukt VeraCode dat ontwikkelaars weliswaar een ‘Software Composition Analysis’ kunnen uitvoeren, maar dat vergelijkbare problemen in andere componenten niet inzichtelijk maakt.
Ontwikkelaars nemen overigens al allerlei maatregelen om hun apps veilig te houden. Zo implementeren ontwikkelaars protocollen voor veilige communicatie. In de helft van alle gevallen is deze communicatie echter niet goed geconfigureerd, waardoor zij apps in de praktijk niet beschermen.
Zorgsector verhelpt de minste kwetsbaarheden
Een andere zorgwekkende conclusie uit het onderzoek is het feit dat de zorgsector op dit moment beveiligingsproblemen het minst snelst verhelpt van alle sectoren. Ook haalt de sector de op één na laagste score in de OWASP test van alle sectoren. Dit is opvallend, aangezien problemen met cryptografie en het beheer van inloggegevens in de sector veel voorkomen. VeraCode noemt de resultaten problematisch, zeker met het oog op recente ransomware aanvallen en andere cyberaanvallen op zorgorganisaties.
Ook blijkt uit het onderzoek dat de topkwartiel van organisaties bijna 70% meer kwetsbaarheden verhelpt dan de gemiddelde organisatie. Best practices en de inzet van eLearning kan er voor zorgen dat kwetsbaarheid zes maal vaker worden opgelost. Ontwikkelaars die software op onofficiële wijze testen via Developer Sandbox verhelpen beveiligingsproblemen twee maal zo vaak.
Rapport
Alle resultaten en meer informatie is te vinden in het State of Software Security 2016 rapport van VeraCode.
Meer over
Lees ook
Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’
De scheidslijn tussen informatietechnologie (IT) en operationele technologie (OT) is aan het vervagen. Om goed te functioneren zijn OT-apparaten steeds afhankelijker van data en IoT-functies. Dat zorgt echter ook voor een verhoogd risico en nieuwe securityuitdagingen. Securityleverancier TXOne specialiseert zich op het snijvlak waar IT en OT overl1
Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’
De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit1
Fortinet lanceert nieuwe OT-beveiligingstoepassingen
Fortinet introduceert nieuwe geïntegreerde oplossingen en diensten voor de beveiliging van operationele technologie (OT). De nieuwe FortiSwitch 424F, FortiExtender Vehicle 211F en verbeterde FortiGuard OT Security Service zijn speciaal ontwikkeld voor het verbinden en beschermen van OT-omgevingen. Met deze nieuwe mogelijkheden onderscheidt Fortine1