Bijna alle Java apps bevatten beveiligingsproblemen
In software worden allerlei componenten met regelmaat gebruikt. Dit is echter niet zonder risico. Zo bevat pakweg 97% van alle Java applicaties een component waarin ten minste één bekend beveiligingsprobleem aanwezig is.
Dit blijkt uit het State of Software Security 2016 rapport van VeraCode. Zo wijst VeraCode op een deserialisatie-kwetsbaarheid in een versie van Apache Commons Collection, die inmiddels is verholpen via een update. De kwetsbare versie blijkt echter door 26,3% van alle Java apps te worden gebruikt. Deze apps zijn hierdoor nog steeds kwetsbaar voor het probleem.
‘Controleer eigen code op problemen’
Het bedrijf stelt dat indien een beveiligingsprobleem opduikt in third-party software, dit voor organisaties aanleiding zou moeten zijn om hun eigen code te controleren op de bron van dit probleem. Ook benadrukt VeraCode dat ontwikkelaars weliswaar een ‘Software Composition Analysis’ kunnen uitvoeren, maar dat vergelijkbare problemen in andere componenten niet inzichtelijk maakt.
Ontwikkelaars nemen overigens al allerlei maatregelen om hun apps veilig te houden. Zo implementeren ontwikkelaars protocollen voor veilige communicatie. In de helft van alle gevallen is deze communicatie echter niet goed geconfigureerd, waardoor zij apps in de praktijk niet beschermen.
Zorgsector verhelpt de minste kwetsbaarheden
Een andere zorgwekkende conclusie uit het onderzoek is het feit dat de zorgsector op dit moment beveiligingsproblemen het minst snelst verhelpt van alle sectoren. Ook haalt de sector de op één na laagste score in de OWASP test van alle sectoren. Dit is opvallend, aangezien problemen met cryptografie en het beheer van inloggegevens in de sector veel voorkomen. VeraCode noemt de resultaten problematisch, zeker met het oog op recente ransomware aanvallen en andere cyberaanvallen op zorgorganisaties.
Ook blijkt uit het onderzoek dat de topkwartiel van organisaties bijna 70% meer kwetsbaarheden verhelpt dan de gemiddelde organisatie. Best practices en de inzet van eLearning kan er voor zorgen dat kwetsbaarheid zes maal vaker worden opgelost. Ontwikkelaars die software op onofficiële wijze testen via Developer Sandbox verhelpen beveiligingsproblemen twee maal zo vaak.
Rapport
Alle resultaten en meer informatie is te vinden in het State of Software Security 2016 rapport van VeraCode.
Meer over
Lees ook
HP levert McAfee LiveSafe standaard op nieuwe HP-computers
HP gaat McAfee LiveSafe service standaard wereldwijd als ‘pre-install’ meeleveren met nieuwe consumentenpc’s en zakelijke pc’s. McAfee LiveSafe is een ‘cross-device’ beveiligingsdienst die de data, identiteitsgegevens en alle pc’s, Macs, smartphones en tablets van gebruikers beschermt. “We staan aan de vooravond van een nieuw computertijdperk, wa1
Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen
Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1
ESET publiceert voorbeelden van scam-mails
Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1