Software Supply Chains zijn een tikkende tijdbom. Er bestaat een sterke correlatie tussen goede bouwkwaliteit en de kans op beveiligingsincidenten. Bij verouderde libraries van lagere bouwkwaliteit is de kans op opduikende beveiligingslekken twee keer zo groot. Organisaties moeten dringend de manier veranderen waarop ontwikkelteams open source libraries gebruiken en beheren.
Dit blijkt uit het Software Benchmark Report dat Software Improvement Group publiceerde. Softwarebeveiliging kan niet alleen met tools worden opgelost. Door broncode eerder in het ontwikkelproces te beoordelen, worden zwakke plekken voorkomen en beveiligingsrisico’s sneller beperkt. Tools zijn waardevol voor het beheer van softwarebeveiliging. Ze zijn echter slechts een deel van de oplossing omdat ze fundamentele blinde vlekken hebben. Processen en mensen zijn van cruciaal belang voor een succesvolle strategie voor softwarebeveiliging.
Onopgeloste kwetsbaarheden
“Organisaties moeten dringend iets doen aan de manier waarop ze omgaan met softwareontwikkeling. De huidige open-source managementpraktijken laten kwetsbaarheden onopgelost, waardoor de kans dat organisaties worden geschonden ernstig toeneemt”, aldus Luc Brandts, Group CEO van SIG Holding. “Het is belangrijk dat mensen begrijpen welke risico’s ze nemen door gebruik te maken van slecht gebouwde libraries. Onze mogelijkheden bij SIG en Sigridâ, ons software assurance platform, helpen klanten deze bedreigingen te vermijden en praktijken te implementeren die de kwaliteit en veiligheid van hun applicaties verbeteren.”
Klanten helpen
Magiel Bruntink, Head of Research bij SIG, merkt op: “we hebben gekeken naar gegevens van meer dan 13 jaar softwaremetingen, 7.500 systemen en 800.000 applicatie-inspecties. We combineren deze gegevens met state-of-the-art onderzoeksprojecten over de beoordeling van beveiligingscode, precieze call chain-technologie en nieuwe benchmarks, om klanten te helpen met shift-left op het gebied van beveiliging en software supply chain-kwesties.”