Bijna alle Java apps bevatten beveiligingsproblemen
In software worden allerlei componenten met regelmaat gebruikt. Dit is echter niet zonder risico. Zo bevat pakweg 97% van alle Java applicaties een component waarin ten minste één bekend beveiligingsprobleem aanwezig is.
Dit blijkt uit het State of Software Security 2016 rapport van VeraCode. Zo wijst VeraCode op een deserialisatie-kwetsbaarheid in een versie van Apache Commons Collection, die inmiddels is verholpen via een update. De kwetsbare versie blijkt echter door 26,3% van alle Java apps te worden gebruikt. Deze apps zijn hierdoor nog steeds kwetsbaar voor het probleem.
‘Controleer eigen code op problemen’
Het bedrijf stelt dat indien een beveiligingsprobleem opduikt in third-party software, dit voor organisaties aanleiding zou moeten zijn om hun eigen code te controleren op de bron van dit probleem. Ook benadrukt VeraCode dat ontwikkelaars weliswaar een ‘Software Composition Analysis’ kunnen uitvoeren, maar dat vergelijkbare problemen in andere componenten niet inzichtelijk maakt.
Ontwikkelaars nemen overigens al allerlei maatregelen om hun apps veilig te houden. Zo implementeren ontwikkelaars protocollen voor veilige communicatie. In de helft van alle gevallen is deze communicatie echter niet goed geconfigureerd, waardoor zij apps in de praktijk niet beschermen.
Zorgsector verhelpt de minste kwetsbaarheden
Een andere zorgwekkende conclusie uit het onderzoek is het feit dat de zorgsector op dit moment beveiligingsproblemen het minst snelst verhelpt van alle sectoren. Ook haalt de sector de op één na laagste score in de OWASP test van alle sectoren. Dit is opvallend, aangezien problemen met cryptografie en het beheer van inloggegevens in de sector veel voorkomen. VeraCode noemt de resultaten problematisch, zeker met het oog op recente ransomware aanvallen en andere cyberaanvallen op zorgorganisaties.
Ook blijkt uit het onderzoek dat de topkwartiel van organisaties bijna 70% meer kwetsbaarheden verhelpt dan de gemiddelde organisatie. Best practices en de inzet van eLearning kan er voor zorgen dat kwetsbaarheid zes maal vaker worden opgelost. Ontwikkelaars die software op onofficiële wijze testen via Developer Sandbox verhelpen beveiligingsproblemen twee maal zo vaak.
Rapport
Alle resultaten en meer informatie is te vinden in het State of Software Security 2016 rapport van VeraCode.
Meer over
Lees ook
Genetec kondigt nieuwe versie van Security Center aan
Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.
NetWitness ondersteunt AWS AppFabric om SaaS-applicaties te beveiligen
NetWitness, leverancier van detectie-, onderzoeks- en responstechnologie voor bedreigingen en incidentresponsdiensten, is geïntegreerd met AWS AppFabric. Die nieuwe service van Amazon Web Services (AWS) zorgty er voor dat software as a service (SaaS)-applicaties snel kunnen worden gekoppeld voor een betere productiviteit en beveiliging.
Genetec: bedrijven kiezen versneld voor cloud- en hybride fysieke security oplossingen
Genetec Inc., leverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft het ‘2024 State of Physical Security Report’ gepubliceerd. Aan dit onderzoek, dat gaat over de beveiligingsstrategieën die organisaties hanteren, deden wereldwijd meer dan 5.500 specialisten op het gebied van fysieke bev1