Zakelijke applicaties worden steeds onveiliger, constateert een nieuws onderzoek. Het aantal (code)fouten neemt toe, het duurt langer voordat deze worden opgelost en vooral in code van derde partijen en open-sourcebronnen komen relatief veel problemen voor.
Het gaat steeds slechter met de veiligheid van zakelijke applicaties, stellen de onderzoekers van Veracode vast in het jaarlijkse State of Software Security (SoSS)-rapport. Zij baseren hun bevindingen op een uitgebreide dataset van 1,3 miljoen unieke zakelijke applicaties en 126,4 miljoen ruwe gegevens. Ongeveer de helft van de respondenten ondervindt problemen door kwetsbare applicaties.
Fouten toegenomen
Het aantal zakelijke applicaties met zeer ernstige fouten is de afgelopen vijf jaar met maar liefst 181 procent toegenomen, zegt de softwaresecurityspecialist in het onderzoek. Inmiddels bevat 80,3 procent van de applicaties een fout. Verder heeft 47,7 procent van de applicaties een kwetsbaarheid uit de Top 10 van applicatierisico’s.
Denk daarbij aan kapotte access control, cryptografische fouten, injectiekwetsbaarheden, misconfiguratie van de security of kwetsbare en verouderde software-onderdelen.
Daarnaast is ook de tijd om deze problemen op te lossen het afgelopen jaar met 47 procent toegenomen. Vergeleken met vijf jaar geleden is dit zelfs met 327 procent gestegen. In totaal kost het nu gemiddeld 252 dagen om een softwarefout te verhelpen, tegenover 171 dagen in 2020.
Vooral derde en open-source code
Veel van de aangetroffen fouten bevinden zich volgens de onderzoekers in code van derde partijen. Libraries of software-onderdelen van externe leveranciers bevatten in 70 procent van de gevallen fouten. Code die specifiek voor een applicatie is geschreven, bevat in 64 procent van de gevallen een fout.
Fouten in de code van derde partijen hebben vaak ook zwaardere gevolgen. Zeker omdat drie van de tien ondervraagde bedrijven aangeven dat 96 procent van hun kritische securityproblemen voortkomt uit third-party code.
Verder blijkt ook open-source code, hoewel die slechts in een klein percentage van de gevallen wordt toegepast, vaak fouten te bevatten. Daarnaast duurt het aanzienlijk langer voordat fouten in open-source code worden hersteld. Dit proces duurt gemiddeld 12 maanden, vergeleken met acht maanden voor first-party code.
Mogelijke oorzaken van problemen
De onderzoekers geven tot slot aan waarom third-party code vaak kwetsbaarder is dan first-party code. Dit komt bijvoorbeeld doordat libraries veel dependencies hebben die niet allemaal eenvoudig kunnen worden geüpdatet. Een ander probleem is dat refactoring van een applicatie of het vervangen van een library door een veiligere optie complicaties kan opleveren.
Ook kunnen open-sourceprojecten minder actief zijn en niet langer goed worden onderhouden.
Lees ook: Veracode versterkt softwarebeveiliging met overname van Phylum-technologie