Veracode, leverancier van oplossingen voor application security testing, concludeert uit onderzoek dat overheids- en onderwijsinstellingen vaak applicaties uitrollen met een grote hoeveelheid kwetsbaarheden. Uit het onderzoek blijkt dat de meerderheid van de organisaties in deze sectoren met grotere applicaties met oudere codebases werken, in vergelijking met andere onderzochte sectoren.
Toch zijn er genoeg aanwijzingen dat ontwikkelaars in deze sectoren hun werkwijzen moderniseren om sneller kwetsbaarheden op te sporen en te verhelpen, en zo hun softwarebeveiliging te verbeteren. In het onderzoek analyseerde Veracode duizenden applicaties binnen overheids- en onderwijsinstellingen om trends in DevSecOps te vinden. 80 procent van de geanalyseerde applicaties bevatte minstens één kwetsbaarheid – het hoogste percentage van alle sectoren in het onderzoek. Maar slechts 23 procent van de kwetsbaarheden was zeer ernstig, waarmee overheid en onderwijs (samen met financiële dienstverlening en zorginstellingen) juist weer het best presteren van alle sectoren.
Hoewel de meeste ontdekte kwetsbaarheden op zichzelf niet ernstig zijn, zorgt een opeenstapeling van kwetsbaarheden ervoor dat de kans dat een applicatie kan worden misbruikt toeneemt – en overheids- en onderwijsinstellingen hebben meer dan zeven maanden nodig om slechts de helft van alle ontdekte kwetsbaarheden te verhelpen.
Drie tips voor goede AppSec in overheid en onderwijs
• Automatiseer het scanproces met API’s: Wanneer DevOps-werkwijzen worden toegepast en releases sneller worden uitgebracht, kunnen ontwikkelaars scans automatiseren vanuit de tools die ze reeds gebruiken. Twee zaken die direct impact hebben op hoe snel kwetsbaarheden kunnen worden verholpen – scanfrequentie en scanautomatisering via API’s – worden in toenemende mate geïmplementeerd binnen overheids- en onderwijsinstellingen. Deze sectoren zijn zelfs voorlopers in hoe vaak ze scannen en in het gebruik van API’s om scans in het ontwikkelingsproces te integreren. Een ontwikkeling om vast te blijven houden.
• Scan tijdens iedere fase van het ontwikkelingsproces: in overheids- en onderwijsorganisaties worden beveiligingstesten nog steeds alleen vlak voor een grote release of op ad-hoc basis gedaan. Zorg er in plaats daarvan voor dat er in elke fase van het ontwikkelingsproces consequent wordt gescand. De ontwikkelaar heeft controle over de regelmaat van de scans, wat een enorme impact kan hebben op applicatiebeveiliging.
• Geef prioriteit aan het verhelpen van kwetsbaarheden: wanneer applicaties vaak en met regelmaat worden gescand, kunnen kwetsbaarheden direct worden verholpen. Maar oudere kwetsbaarheden blijven vaker openstaan, en teams besteden hier vaak geen tijd aan. Hoewel de ernst van kwetsbaarheden en de impact van de applicatie op bedrijfsresultaten deels bepalen welke kwetsbaarheden het eerst worden opgelost, leidt het negeren van te veel oudere fouten tot te veel security debt.
Wat de meest voorkomende fouten betreft: SQL-injecties komen binnen overheid en onderwijs 33 procent vaker voor dan bij andere sectoren, en ook cross-site scripting en gebrekkige input-validatie komen vaker voor. Maar vijf van de top tien van ernstigste kwetsbaarheden komen juist minder vaak voor in overheids- en onderwijsapplicaties. Bekijk ook deze interactieve infographic voor de meest voorkomende kwetsbaarheden per programmeertaal.
“De meeste kwetsbaarheden in overheids- en onderwijsapplicaties zijn gelukkig niet catastrofaal”, zegt Chris Eng, Chief Research Officer bij Veracode. “Door meer met DevSecOps-tactieken te werken, zoals regelmatige en frequente applicatiescans en het gebruik van verschillende testmethodes, kunnen ontwikkelaars binnen deze organisaties grote stappen maken om hun code veiliger te maken.”
7 november (online seminar op 1 middag)Praktische tutorial met Alec Sharp Alec Sharp illustreert de vele manieren waarop conceptmodellen (conceptuele datamodellen) procesverandering en business analyse ondersteunen. En hij behandelt wat elke data-pr...
18 t/m 20 november 2024Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikbare ...
De DAMA DMBoK2 beschrijft 11 disciplines van Data Management, waarbij Data Governance centraal staat. De Certified Data Management Professional (CDMP) certificatie biedt een traject voor het inleidende niveau (Associate) tot en met hogere niveaus van...
3 april 2025 (halve dag)Praktische workshop met Alec Sharp [Halve dag] Deze workshop door Alec Sharp introduceert conceptmodellering vanuit een non-technisch perspectief. Alec geeft tips en richtlijnen voor de analist, en verkent datamodellering op c...
10, 11 en 14 april 2025Praktische driedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en duidelijke, herbruikba...
Alleen als In-house beschikbaarWorkshop met BPM-specialist Christian Gijsels over business analyse, modelleren en simuleren met de nieuwste release van Sparx Systems' Enterprise Architect, versie 16.Intensieve cursus waarin de belangrijkste basisfunc...
Deel dit bericht