Veracode: Financiële dienstverleners lopen voorop bij oplossen softwarekwetsbaarheden

Veracode, leverancier van oplossingen voor application security testing, presenteert onderzoeksbevindingen waaruit blijkt dat de financiële dienstverleningsbranche goed in staat is om softwarekwetsbaarheden te verhelpen en voorloopt op andere branches in het opspeuren van kwetsbaarheden in open source-componenten.

Het verhelpen van open source-kwetsbaarheden is essentieel, omdat het attack surface van applicaties veel groter is dan veel ontwikkelaars denken wanneer open source libraries indirect worden toegevoegd. De bevindingen zijn het resultaat van Veracodes State of Software Security Volume 11, waarvoor 130.000 applicaties van 2.500 bedrijven zijn geanalyseerd. Het onderzoek toont aan dat financiële dienstverleners het kleinste deel van applicaties met kwetsbaarheden in gebruik hebben, en de op een na laagste hoeveelheid ernstige kwetsbaarheden (waarin de maakindustrie vooroploopt). Ook wordt, vergeleken met andere branches, met 75 procent het hoogste percentage kwetsbaarheden verholpen. Toch blijkt uit het onderzoek ook dat financiële dienstverleners ongeveer zesenhalve maand nodig hebben om 50 procent van de gevonden kwetsbaarheden op te lossen. Dit duidt op een trager herstelproces vergeleken met andere branches.

“Het kost financiële dienstverleners gemiddeld meer dan zes maanden om openstaande kwetsbaarheden te halveren, ondanks dat ze uit alle branches het snelst kwetsbaarheden verhelpen”, zegt Chris Wysopal, Chief Technology Officer bij Veracode. “Maar ontwikkelaars binnen deze branche worden vaak beperkt door hun werkomgeving. Applicaties zijn doorgaans ouder, hebben een gemiddelde hoeveelheid kwetsbaarheden en werken niet zo consistent met een DevSecOps-aanpak dan wat je ziet bij andere branches. Met aanvullende training en door vast te houden aan best practices kunnen zij sneller problemen oplossen en eerder beginnen met het verminderen van de security debt.”

Belangrijke inzichten
Het onderzoek van Veracode wijst uit dat bepaalde DevSecOps-werkwijzen de software security aanzienlijk kunnen verbeteren. Uit het onderzoek blijkt bovendien dat financiële dienstverleners:
• Vooroplopen in het verhelpen van kwetsbaarheden in hun open source software én het implementeren van een sterke regelmaat in het laten uitvoeren van analyses;
• In de middenmoot eindigen als het aankomt op scanfrequentie en de integratie van security tests;
• Gemiddeld geen gebruik maken van Dynamic Analysis (DAST) scantechnologieën om kwetsbaarheden op te sporen;
• Bovengemiddeld presteren vergeleken met alle andere branches in het verhelpen van kwetsbaarheden omtrent cryptografie, input-validatie, Cross-Site Scripting en het beheer van inloggegevens – allemaal zaken die te maken hebben met de bescherming van de eindgebruikers van financiële applicaties.

Download het State of Software Security Volume 11 van Veracode