Veracode, leverancier van oplossingen voor application security testing, presenteert onderzoeksbevindingen waaruit blijkt dat de financiële dienstverleningsbranche goed in staat is om softwarekwetsbaarheden te verhelpen en voorloopt op andere branches in het opspeuren van kwetsbaarheden in open source-componenten.
Het verhelpen van open source-kwetsbaarheden is essentieel, omdat het attack surface van applicaties veel groter is dan veel ontwikkelaars denken wanneer open source libraries indirect worden toegevoegd. De bevindingen zijn het resultaat van Veracodes State of Software Security Volume 11, waarvoor 130.000 applicaties van 2.500 bedrijven zijn geanalyseerd. Het onderzoek toont aan dat financiële dienstverleners het kleinste deel van applicaties met kwetsbaarheden in gebruik hebben, en de op een na laagste hoeveelheid ernstige kwetsbaarheden (waarin de maakindustrie vooroploopt). Ook wordt, vergeleken met andere branches, met 75 procent het hoogste percentage kwetsbaarheden verholpen. Toch blijkt uit het onderzoek ook dat financiële dienstverleners ongeveer zesenhalve maand nodig hebben om 50 procent van de gevonden kwetsbaarheden op te lossen. Dit duidt op een trager herstelproces vergeleken met andere branches.
“Het kost financiële dienstverleners gemiddeld meer dan zes maanden om openstaande kwetsbaarheden te halveren, ondanks dat ze uit alle branches het snelst kwetsbaarheden verhelpen”, zegt Chris Wysopal, Chief Technology Officer bij Veracode. “Maar ontwikkelaars binnen deze branche worden vaak beperkt door hun werkomgeving. Applicaties zijn doorgaans ouder, hebben een gemiddelde hoeveelheid kwetsbaarheden en werken niet zo consistent met een DevSecOps-aanpak dan wat je ziet bij andere branches. Met aanvullende training en door vast te houden aan best practices kunnen zij sneller problemen oplossen en eerder beginnen met het verminderen van de security debt.”
Belangrijke inzichten
Het onderzoek van Veracode wijst uit dat bepaalde DevSecOps-werkwijzen de software security aanzienlijk kunnen verbeteren. Uit het onderzoek blijkt bovendien dat financiële dienstverleners:
• Vooroplopen in het verhelpen van kwetsbaarheden in hun open source software én het implementeren van een sterke regelmaat in het laten uitvoeren van analyses;
• In de middenmoot eindigen als het aankomt op scanfrequentie en de integratie van security tests;
• Gemiddeld geen gebruik maken van Dynamic Analysis (DAST) scantechnologieën om kwetsbaarheden op te sporen;
• Bovengemiddeld presteren vergeleken met alle andere branches in het verhelpen van kwetsbaarheden omtrent cryptografie, input-validatie, Cross-Site Scripting en het beheer van inloggegevens – allemaal zaken die te maken hebben met de bescherming van de eindgebruikers van financiële applicaties.
Download het State of Software Security Volume 11 van Veracode
29 en 30 oktober 2025 Deze 2-daagse cursus is ontworpen om dataprofessionals te voorzien van de kennis en praktische vaardigheden die nodig zijn om Knowledge Graphs en Large Language Models (LLM's) te integreren in hun workflows voor datamodel...
3 t/m 5 november 2025Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ri...
17 t/m 19 november 2025 De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot...
25 en 26 november 2025 Worstelt u met de implementatie van data governance of de afstemming tussen teams? Deze baanbrekende workshop introduceert de Data Governance Sprint - een efficiënte, gestructureerde aanpak om uw initiatieven op het...
26 november 2025 Workshop met BPM-specialist Christian Gijsels over AI-Gedreven Business Analyse met ChatGPT. Kunstmatige Intelligentie, ongetwijfeld een van de meest baanbrekende technologieën tot nu toe, opent nieuwe deuren voor analisten met ...
9 december (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. En hij behandelt wat elke data-pr...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
8 t/m 10 juni 2026Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ri...
Deel dit bericht