Ny undersökning visar på säkerhetsbrister i 100 000 webbapplikationer

Vid en genomgång av 130 000 webbapplikationer visade sig närmare 100 000 innehålla säkerhetsbrister där var fjärde var allvarlig.

Ny undersökning visar på säkerhetsbrister i 100 000 webbapplikationer 1Hälften av de här säkerhetsbristerna kräver i genomsnitt ett halvår att fixa, men med hjälp av rätt verktyg och arbetssätt kan den tiden kortas avsevärt. Det visar en ny undersökning från Veracode, världens största oberoende leverantör av AST-lösningar.

En genomgång av 130 000 webbapplikationer visar att en övervägande majoritet (76%) av dem innehåller minst en säkerhetsbrist och var fjärde (24%) är allvarlig. Det visar den nya rapporten State of Software Security (SOSS) Volume 11 som sammanställts av Veracode. Rapporten visar också att de flesta säkerhetsbrister (70%) härstammar från öppna källkoder och att närmare en tredjedel (30%) av applikationerna har fler säkerhetsbrister i den öppna källkoden än den som görs av företagens egna kodare.

Att åtgärda säkerhetsbristerna tar vanligtvis flera månader, enligt SOSS Volume 11. Analysen av de 130 000 applikationerna visar exempelvis att det skulle krävas ett halvårs arbete för att rätta till hälften av de brister som upptäcktes. Den nya SOSS-rapporten har också funnit att modern DevSecOps (development, security, operations) kan snabba på säkerhetsarbetet. Det är möjligt genom att exempelvis använda sig av olika skanningstyper, arbeta i mindre och mer moderna applikationer och att bädda in säkerhetstester via en API (gränssnitt för applikationsprogrammering).

– Målet med säkerhetsarbetet är inte att skriva applikationskod perfekt första gången, utan att hitta och åtgärda bristerna snabbt och övergripande. Med rätt verktyg och utbildning kan utvecklare ta rätt beslut för att förbättra säkerheten överlag, även i de mest utmanande fallen, säger Chris Eng, Chief Research Officer på Veracode.

Veracode har även upptäckt att det finns några faktorer som går att ha väldigt lite kontroll över och de man kan ha mycket kontroll över. De har kategoriserats som “nature” och ”nurture”. Inom ”nature” har Veracode tagit fasta på faktorer som storleken på applikationen och organisationen samt säkerhetsskulderna. ”Nature” står för åtgärder som skanningsfrekvens, kadens och skanning via API:er.

Viktiga resultat som framkommer i SOSS 11:Felaktiga applikationer är normen: 76 procent av alla undersökta webbapplikationer har minst en säkerhetsfel, varav 24 procent har brister som är svåra att rätta till. Frekvent skanning kan minska tiden det tar att stänga hälften av de observerade resultaten med mer än tre veckor.• Säkerhetsbristerna ökar i öppen källkod: medan 70% av applikationerna ärver minst ett säkerhetsfel från sina öppna källkodsbibliotek, fann SOSS 11 också att 30% av applikationerna har fler brister i sina källkodsbibliotek än i koden skriven internt . Nyckelkursen är att mjukvarusäkerhet kommer från att få hela bilden, vilket inkluderar att identifiera och spåra den tredjepartskod som används i applikationer.

  • Flera skanningstyper bevisar effektiviteten hos DevSecOps:team som använder en kombination av skanningstyper inklusive statiskaapplikationssäkerhetstest (SAST), dynamiska applikationssäkerhetstest (DAST) och en automatiserad process för att hitta sårbarheter i öppen källkod, ramverk och bibliotek (SCA). De som använder SAST och DAST tillsammans kan fixa hälften av säkerhetsbristerna 24 dagar snabbare.
  • Automation har stor betydelse:de som automatiserar säkerhetstester i SDLC (livscykeln för mjukvaruutveckling)kan i genomsnitt rätta till hälften av bristerna 17,5 dagar snabbare än de som skannar på ett mindre automatiserat sätt.

• Att beta av it-säkerhetsskulden är avgörande: kopplingen mellan frekvent skanning av webbapplikationer och snabbare åtgärder har lyfts fram i flera av Veracodes tidigare rapporter om mjukvarusäkerhet. I årets rapport SOSS 11 konstateras också att en minskning av säkerhetsskulden också sänker den totala risken.