Veracode publiceert State of Software Security deel 11

Veracode, de grootste internationale leverancier van oplossingen voor application security testing (AST), presenteert vandaag zijn State of Software Security (SOSS) rapport deel 11. Het rapport toont onder meer aan dat de meeste applicaties minimaal één beveiligingslek bevatten en dat het verhelpen van dergelijke kwetsbaarheden gewoonlijk maanden kost. In het afgelopen jaar zijn 130.000 applicaties geanalyseerd, waarbij bleek dat het teams gemiddeld een half jaar kost om de helft van de kwetsbaarheden te verhelpen die ze aantreffen.

Het rapport presenteert ook een aantal best practices waarmee kwetsbaarheden aanzienlijk sneller verholpen kunnen worden. Veracode maakt daarbij onderscheid tussen factoren waar de teams veel controle over hebben (‘nurture’) en factoren waar ze nauwelijks controle over hebben (‘nature’). Veracode beschouwt factoren zoals de grootte van applicaties en de organisatie of de bestaande security debt* als ‘nature’, terwijl ‘nurture’ gaat over acties die teams kunnen ondernemen, zoals de regelmaat en frequentie van scans en scannen via API’s.

Kwetsbaarheden verhelpen: nature of nurture?
SOSS 11 laat zien dat kwetsbaarheden met moderne DevSecOps methoden veel sneller worden opgelost. Door bijvoorbeeld meerdere soorten applicatie securityscans te gebruiken, door in kleinere of modernere apps te werken, en door securitytesten via een API in de pijplijn te verwerken, kan de tijd waarin kwetsbaarheden worden verholpen sterk worden verkort, zelfs in apps die van nature minder ideaal zijn.

“Het doel van software security is niet om applicaties iedere keer meteen perfect te schrijven, maar om kwetsbaarheden tijdig op te sporen en volledig te verhelpen”, zegt Chris Eng, Chief Research Officer bij Veracode. “Met de juiste training en tools kunnen ontwikkelaars zelfs in de meest uitdagende omgevingen nog specifieke acties ondernemen om de algehele security van de applicatie te verbeteren.”

Andere belangrijke conclusies uit het SOSS11 rapport:

• Kwetsbare applicaties komen veel voor: 76% van de applicaties heeft minimaal één beveiligingslek, maar slechts 24% heeft ook echt ernstige lekken. Het is een goed teken dat de meeste applicaties geen grote kwetsbaarheden hebben die de applicatie echt gevaarlijk maken. Door regelmatig te scannen is het mogelijk om de doorlooptijd van het verhelpen van de helft van de ontdekte kwetsbaarheden met meer dan drie weken te verkorten.
• Open source vertoont steeds meer kwetsbaarheden: 70% van de applicaties heeft minimaal één kwetsbaarheid overgenomen uit open source libraries. SOSS 11 constateert ook dat 30% van de applicaties meer kwetsbaarheden heeft in de open source libraries dan in de zelf ontwikkelde code. De belangrijkste les is dat software security om een volledig beeld vraagt, waarbij nadrukkelijk ook wordt gekeken naar de code van derden die in applicaties wordt toegepast.
• Meerdere scantypes maken DevSecOps effectiever: kwetsbaarheden worden sneller opgelost als teams gebruikmaken van een combinatie van verschillende scantypes, zoals static analysis (SAST), dynamic analysis (DAST) en software composition analysis (SCA). Teams die zowel SAST als DAST gebruiken, weten de helft van de kwetsbaarheden 24 dagen sneller op te lossen.
• Automatiseren maakt verschil: teams die securitytesten automatiseren in de Software Development Life Cycle (SDLC), lossen de helft van de kwetsbaarheden 17,5 dag sneller op dan teams die niet automatiseren.
• Security debt inlossen is cruciaal: in eerder onderzoek (SOSS 10) constateerde Veracode al dat regelmatig applicaties scannen de tijd om kwetsbaarheden te verhelpen aanzienlijk kan verkorten. Het vandaag gepresenteerde rapport laat zien dat het inlossen van de security debt* (het verhelpen van oudere, al langer bekende kwetsbaarheden) het totale risico fors kan verkleinen. Oudere applicaties met veel kwetsbaarheden zijn vaak veel lastiger te repareren: gemiddeld kost het bij dit soort applicaties 63 dagen méér om de helft van de kwetsbaarheden te verhelpen.

* ‘Debt’, als in ‘technical debt’ en ‘security debt’, staat in dit verband voor de ‘schuld’ die ontstaat doordat in het verleden voor een gemakkelijke oplossing is gekozen, in plaats van voor een betere oplossing die wellicht meer tijd hadden gekost, maar in een later stadium minder problemen had opgeleverd. Ontwikkelaars worden soms opgezadeld met een schuld uit het verleden (nature), maar hebben ook zelf de keuze om een schuld op te bouwen of in te lossen (nurture).

Download hier Veracode’s State of Software Security deel 11 en lees hier waarom Veracode de beste partner is voor DevSecOps.