Veracode, leverancier van oplossingen voor application security testing, concludeert uit onderzoek dat overheids- en onderwijsinstellingen vaak applicaties uitrollen met een grote hoeveelheid kwetsbaarheden. Uit het onderzoek blijkt dat de meerderheid van de organisaties in deze sectoren met grotere applicaties met oudere codebases werken, in vergelijking met andere onderzochte sectoren.
Toch zijn er genoeg aanwijzingen dat ontwikkelaars in deze sectoren hun werkwijzen moderniseren om sneller kwetsbaarheden op te sporen en te verhelpen, en zo hun softwarebeveiliging te verbeteren. In het onderzoek analyseerde Veracode duizenden applicaties binnen overheids- en onderwijsinstellingen om trends in DevSecOps te vinden. 80 procent van de geanalyseerde applicaties bevatte minstens één kwetsbaarheid – het hoogste percentage van alle sectoren in het onderzoek. Maar slechts 23 procent van de kwetsbaarheden was zeer ernstig, waarmee overheid en onderwijs (samen met financiële dienstverlening en zorginstellingen) juist weer het best presteren van alle sectoren.
Hoewel de meeste ontdekte kwetsbaarheden op zichzelf niet ernstig zijn, zorgt een opeenstapeling van kwetsbaarheden ervoor dat de kans dat een applicatie kan worden misbruikt toeneemt – en overheids- en onderwijsinstellingen hebben meer dan zeven maanden nodig om slechts de helft van alle ontdekte kwetsbaarheden te verhelpen.
Drie tips voor goede AppSec in overheid en onderwijs
• Automatiseer het scanproces met API’s: Wanneer DevOps-werkwijzen worden toegepast en releases sneller worden uitgebracht, kunnen ontwikkelaars scans automatiseren vanuit de tools die ze reeds gebruiken. Twee zaken die direct impact hebben op hoe snel kwetsbaarheden kunnen worden verholpen – scanfrequentie en scanautomatisering via API’s – worden in toenemende mate geïmplementeerd binnen overheids- en onderwijsinstellingen. Deze sectoren zijn zelfs voorlopers in hoe vaak ze scannen en in het gebruik van API’s om scans in het ontwikkelingsproces te integreren. Een ontwikkeling om vast te blijven houden.
• Scan tijdens iedere fase van het ontwikkelingsproces: in overheids- en onderwijsorganisaties worden beveiligingstesten nog steeds alleen vlak voor een grote release of op ad-hoc basis gedaan. Zorg er in plaats daarvan voor dat er in elke fase van het ontwikkelingsproces consequent wordt gescand. De ontwikkelaar heeft controle over de regelmaat van de scans, wat een enorme impact kan hebben op applicatiebeveiliging.
• Geef prioriteit aan het verhelpen van kwetsbaarheden: wanneer applicaties vaak en met regelmaat worden gescand, kunnen kwetsbaarheden direct worden verholpen. Maar oudere kwetsbaarheden blijven vaker openstaan, en teams besteden hier vaak geen tijd aan. Hoewel de ernst van kwetsbaarheden en de impact van de applicatie op bedrijfsresultaten deels bepalen welke kwetsbaarheden het eerst worden opgelost, leidt het negeren van te veel oudere fouten tot te veel security debt.
Wat de meest voorkomende fouten betreft: SQL-injecties komen binnen overheid en onderwijs 33 procent vaker voor dan bij andere sectoren, en ook cross-site scripting en gebrekkige input-validatie komen vaker voor. Maar vijf van de top tien van ernstigste kwetsbaarheden komen juist minder vaak voor in overheids- en onderwijsapplicaties. Bekijk ook deze interactieve infographic voor de meest voorkomende kwetsbaarheden per programmeertaal.
“De meeste kwetsbaarheden in overheids- en onderwijsapplicaties zijn gelukkig niet catastrofaal”, zegt Chris Eng, Chief Research Officer bij Veracode. “Door meer met DevSecOps-tactieken te werken, zoals regelmatige en frequente applicatiescans en het gebruik van verschillende testmethodes, kunnen ontwikkelaars binnen deze organisaties grote stappen maken om hun code veiliger te maken.”
3 t/m 5 februari 2021 [3 halve dagen online]Praktische tweedaagse workshop met internationaal gerenommeerde spreker Alec Sharp over herkennen, beschrijven en ontwerpen van business processen. De workshop wordt ondersteund met praktijkvoorbeelden en d...
2 maart 2021 (online seminar op 1 ochtend) Cloud Native technologieën als FaaS (Function-As-A-Service), Cloud Native messaging en Serverless API Management zijn belangrijke bouwstenen voor een nieuwe generatie van integratie-architecturen. ...
8 - 12 maart 2021 [5 halve dagen online]Praktische workshop met internationaal gerenommeerde spreker Alec Sharp over het modelleren met Entity-Relationship vanuit business perspectief. De workshop wordt ondersteund met praktijkvoorbeelden en duidelij...
23 en 24 maart 2021 Het Logical Data Warehouse, een door Gartner geïntroduceerde architectuur, is gebaseerd op een ontkoppeling van rapportage en analyse enerzijds en gegevensbronnen anderzijds. Een flexibelere architectuur waarbij sneller nieuwe ge...
14 en 15 april 2021 Organisaties hebben behoefte aan data science, selfservice BI, embedded BI, edge analytics en klantgedreven BI. Vaak is het dan ook tijd voor een nieuwe, toekomstbestendige data-architectuur. Dit tweedaagse seminar geeft antwoord ...
20 april 2021 (online seminar op 1 ochtend)Praktische workshop met Rogier Werschkull over cloud datawarehousing.Wat zijn de voor- en nadelen van Cloud Datawarehousing en hoe pak je dat aan? Tijdens deze online sessie van een halve dag door expert Ro...
22 april 2021 (online seminar op 1 ochtend) Iedere organisatie heeft te maken met het integreren van systemen en applicaties. Maar hoe worden integratieprocessen en informatiestromen nu werkelijk geautomatiseerd? En hoe pakt u dit op een efficië...
18 mei 2021 Praktische workshop Datavisualisatie en Data-driven Storytelling. Hoe gaat u van data naar inzicht? En hoe gaat u om met grote hoeveelheden data, de noodzaak van storytelling, data science en de data artist? Lex Pierik behandelt de stromi...
Deel dit bericht