Driekwart van de applicaties (76%) bevat minimaal één beveiligingslek. En na zes maanden is slechts de helft van die kwetsbaarheden opgelost.
“Het is een goed teken dat de meeste applicaties geen grote kwetsbaarheden hebben die de applicatie echt gevaarlijk maken. Door regelmatig te scannen is het mogelijk om de doorlooptijd van het verhelpen van de helft van de ontdekte kwetsbaarheden met meer dan drie weken te verkorten”, stellen onderzoekers van Veracode in het nieuw verschenen rapport State of Software Security (SOSS). Voor het onderzoek zijn 130.000 applicaties onderzocht.
Van de open-source applicaties blijkt 70% tenminste één kwetsbaarheid te hebben. Opmerkelijk is dat 30% van de applicaties meer kwetsbaarheden heeft in de open-source libraries dan in de zelf ontwikkelde code.
De onderzoekers hebben ook gekeken hoe lang het duurt voordat kwetsbaarheden in software verholpen zijn. De helft van de kwetsbaarheden blijkt 6 maanden na het ontdekken nog steeds niet te zijn verholpen. “Het doel van softwaresecurity is niet om applicaties iedere keer meteen perfect te schrijven, maar om kwetsbaarheden tijdig op te sporen en volledig te verhelpen”, zegt Chris Eng, Chief Research Officer bij Veracode.
Oplossen
Volgens de onderzoekers kunnen kwetsbaarheden in applicaties sneller opgelost worden door bijvoorbeeld meerdere soorten applicatie securityscans te gebruiken. Een andere manier is door in kleinere of modernere apps te werken, en door security-testen via een API in de pijplijn te verwerken. Dat kan de tijd waarin kwetsbaarheden worden verholpen aanmerkelijk verkorten.
