Oplossen van kwetsbaarheden kost gemiddeld een half jaar

De meeste applicaties bevatten minimaal één beveiligingslek en dat het verhelpen van dergelijke kwetsbaarheden gewoonlijk maanden kost. Het kost teams gemiddeld een half jaar om de helft van de kwetsbaarheden te verhelpen die ze aantreffen.

Dit blijkt uit het State of Software Security (SOSS) rapport deel 11 van Veracode, leverancier van oplossingen voor application security testing (AST). Voor het rapport zijn in het afgelopen jaar 130.000 applicaties geanalyseerd. Het rapport presenteert ook een aantal best practices waarmee kwetsbaarheden aanzienlijk sneller verholpen kunnen worden. Veracode maakt daarbij onderscheid tussen factoren waar de teams veel controle over hebben (‘nurture’) en factoren waar ze nauwelijks controle over hebben (‘nature’). Veracode beschouwt factoren zoals de grootte van applicaties en de organisatie of de bestaande security debt als ‘nature’, terwijl ‘nurture’ gaat over acties die teams kunnen ondernemen, zoals de regelmaat en frequentie van scans en scannen via API’s.

Kwetsbaarheden verhelpen: nature of nurture?

Het rapport laat zien dat kwetsbaarheden met moderne DevSecOps methoden veel sneller worden opgelost. Door bijvoorbeeld meerdere soorten applicatie securityscans te gebruiken, door in kleinere of modernere apps te werken, en door securitytesten via een API in de pijplijn te verwerken, kan de tijd waarin kwetsbaarheden worden verholpen sterk worden verkort, zelfs in apps die van nature minder ideaal zijn.

“Het doel van software security is niet om applicaties iedere keer meteen perfect te schrijven, maar om kwetsbaarheden tijdig op te sporen en volledig te verhelpen”, zegt Chris Eng, Chief Research Officer bij Veracode. “Met de juiste training en tools kunnen ontwikkelaars zelfs in de meest uitdagende omgevingen nog specifieke acties ondernemen om de algehele security van de applicatie te verbeteren.”

Kwetsbare applicaties komen veel voor

76% van de applicaties heeft minimaal één beveiligingslek, maar slechts 24% heeft ook echt ernstige lekken. Het is een goed teken dat de meeste applicaties geen grote kwetsbaarheden hebben die de applicatie echt gevaarlijk maken. Door regelmatig te scannen is het mogelijk om de doorlooptijd van het verhelpen van de helft van de ontdekte kwetsbaarheden met meer dan drie weken te verkorten.

70% van de applicaties heeft minimaal één kwetsbaarheid overgenomen uit open source libraries. SOSS 11 constateert ook dat 30% van de applicaties meer kwetsbaarheden heeft in de open source libraries dan in de zelf ontwikkelde code. De belangrijkste les is dat software security om een volledig beeld vraagt, waarbij nadrukkelijk ook wordt gekeken naar de code van derden die in applicaties wordt toegepast.

Meerdere scantypes maken DevSecOps effectiever

Kwetsbaarheden worden sneller opgelost als teams gebruikmaken van een combinatie van verschillende scantypes, zoals static analysis (SAST), dynamic analysis (DAST) en software composition analysis (SCA). Teams die zowel SAST als DAST gebruiken, weten de helft van de kwetsbaarheden 24 dagen sneller op te lossen.

Teams die securitytesten automatiseren in de Software Development Life Cycle (SDLC), lossen de helft van de kwetsbaarheden 17,5 dag sneller op dan teams die niet automatiseren.

Security debt inlossen is cruciaal

In eerder onderzoek (SOSS 10) constateerde Veracode al dat regelmatig applicaties scannen de tijd om kwetsbaarheden te verhelpen aanzienlijk kan verkorten. Het vandaag gepresenteerde rapport laat zien dat het inlossen van de security debt (het verhelpen van oudere, al langer bekende kwetsbaarheden) het totale risico fors kan verkleinen. Oudere applicaties met veel kwetsbaarheden zijn vaak veel lastiger te repareren: gemiddeld kost het bij dit soort applicaties 63 dagen méér om de helft van de kwetsbaarheden te verhelpen.

Download hier Veracode’s State of Software Security deel 11.