Hovedparten af apps er spækket med sikkerhedsfejl
Hjem SIKKERHED Hovedparten af apps er spækket med sikkerhedsfejl

Hovedparten af apps er spækket med sikkerhedsfejl

Af Redaktionen

En fjerdedel af webapplikationer er fyldt med kritiske sikkerhedsfejl. Og halvdelen af sikkerhedsfejlene i apps er ikke rettet seks måneder efter, de er opdaget, viser ny omfattende rapport fra den globale app-sikkerhedsudbyder, Veracode.

Hovedparten af apps er spækket med sikkerhedsfejlNy global sikkerhedsrapport afslører, at størstedelen af apps har mindst én sikkerhedsbrist. Veracode, verdens største udbyder af testsystemer inden for app-sikkerhed (AST), har netop offentliggjort sin rapport State of Software Security (SOSS) Volume 11, der udkommer årligt og tager temperaturen på sikkerhedsniveauet på apps på verdensplan. I år er analysearbejdet baseret på 130.000 apps, og den viser blandt andet, at det tager omkring 6 måneder at lukke halvdelen af de fundne fejl.

Rapporten afslører også nogle ’best practices’, der i signifikant grad kan forbedre hastigheden på at få løst problemerne. Veracode erfarer, at der er nogle faktorer, som de sikkerhedsansvarlige i en virksomhed har meget lidt kontrol over, og nogle, som de har meget kontrol over. Veracode kategoriserer dem som ’nature’ og ’nurture’. Indenfor den første kategori inkluderer Veracode faktorer som applikationens og organisationens størrelse samt omfanget af sikkerhedsbristen, mens den anden kategori dækker handlinger som scanningsfrekvens, kadence og scanning via API’er.

  • Apps med indbyggede fejl er normen: 76 procent af aktive apps har mindst én sikkerhedsbrist, hvoraf 24 procent har alvorlige fejl. Det er et godt tegn, at de fleste apps ikke har kritiske fejl, der indebærer alvorlige risici for appen. Hyppig scanning kan desuden reducere den tid, det tager at løse halvdelen af de identificerede problemer med mere end tre uger.
  • Antallet af open source-fejl er støt stigende: Mens 70 procent af alle apps har ’arvet’ mindst én sikkerhedsfejl fra deres egen open source-kode, viser rapporten også, at 30 procent af de undersøgte apps har flere fejl i den anvendte open source-kode end fra selve kodearbejdet produceret af den enkelte programmør. Den væsentligste læring er, at softwaresikkerhed opnås, hvis man ser på det fulde billede, som inkluderer, at man identificerer og scanner den tredjepartskode, der er anvendt i appen.
  • Rapporten viser, at flere scanningstyper og en DevSecOps-tilgang optimerer effektiviteten: Arbejder man med en kombination af flere forskellige scanningstyper, herunder statisk analyse (SAST), dynamisk analyse (DAST) og softwarekompositionsanalyse (SCA) forbedrer man hastigheden for reparationerne. Dem, som anvender SAST og DAST sammen, har kunnet løse halvdelen af fejlene 24 dage hurtigere.
  • Det er afgørende at få betalt af på sikkerhedsgælden: Sammenhængen mellem at scanne apps ofte og at kunne reducere tiden, det tager at løse problemerne er allerede slået fast i Veracodes tidligere State of Software Security research. Dette års rapport viser også, at man kan reducere den overordnede risiko ved at fikse sin backlog med kendte fejl. Rapporten konkluderer desuden, at det tager væsentligt længere tid at afhjælpe problemer i ældre apps med høj fejltæthed. Gennemsnitligt tager det yderligere 63 dage at reparere halvdelen af fejlene.
  • Automatisk fejlfinding og -løsning: De som automatisk tester gennem SDLC har kunnet identificere og udbedre halvdelen af fejlene 17,5 dage hurtigere, end hvis man scanner på en mindre automatiseret måde, viser rapporten.

Kunsten at løse sikkerhedsbrister: ’Nature’ eller ’nurture’?
Der er håb forude. State of Software Security 11-rapporten afslører, at håndtering af problemer inden for moderne DevSecOps-praksis resulterer i, at flere fejl bliver løst. Hvis man for eksempel gør brug af flere slags app-scanningsværktøjer, arbejder med mindre eller mere moderne apps og indarbejder sikkerhedstestning som en del af processen via en API, gør det rent faktisk en forskel i forhold til at reducere den tid, det tager at reparere sikkerhedsbristerne. Selv i apps, der ikke er så ideelt opbygget.

“Målet med softwaresikkerhed er ikke at skabe applikationer, der er perfekte, i første forsøg, men at finde og reparere fejlene på en fornuftig måde og i god tid,” siger Chris Eng, Chief Research Officer hos Veracode.

“Selv når man står over for de mest komplekse udfordringer, kan udviklere tage specifikke tiltag i brug for at forbedre app-sikkerheden overordnet set med den rette træning og de rette værktøjer,” uddyber Chris Eng.

Relaterede artikler

Vi bruger cookies og andre identifikatorer for at forbedre din oplevelse. Dette giver os mulighed for at sikre din adgang, analysere dit besøg på vores hjemmeside. Det hjælper os med at tilbyde dig personlig indhold og nem adgang til nyttige oplysninger. Klik på "Jeg accepterer" for at acceptere vores brug af cookies og andre identifikatorer eller klik på "Flere oplysninger" for at justere dine valg. jeg godkender Flere oplysninger >>