Veracode-onderzoek: 70% van applicaties hebben open source securitykwetsbaarheden

Veracodes State of Software Security Report: Open Source Edition toont aan dat veelgebruikte open source-libraries leiden tot domino-effect aan kwetsbaarheden in applicaties
| Veracode | 2 min | 16 september 2020 20:30
Gewaardeerd
Copyright: Veracode
Zeven van de tien applicaties bevatten een kwetsbaarheid door het gebruik van open source-code, blijkt uit onderzoek van Veracode, de grootste onafhankelijke wereldwijde provider van oplossingen voor application security testing (AST).

Het State of Software Security (SOSS): Open Source Edition-onderzoek van Veracode analyseerde de open source-libraries die deel uitmaken van de Veracode platform-database, die 85.000 applicaties bevat en goed is voor 351.000 unieke externe libraries.

Vrijwel alle moderne applicaties bevatten open source-componenten. Maar een kwetsbaarheid in een enkele library kan een domino-effect hebben op alle applicaties die deze code gebruiken. Hierdoor kunnen open source-libraries nieuwe kwetsbaarheden introduceren, die risico’s vergroten en bijdragen aan de security debt: het aantal geïdentificeerde kwetsbaarheden in software dat niet is opgelost. Gelukkig kunnen dit soort kwetsbaarheden in de meeste applicaties worden verholpen met een kleine versie-update; grootschalige updates zijn meestal niet nodig.

Het attack-surface van een applicatie is niet beperkt tot de code en de code van de packages die developers expliciet insluiten. Libraries hebben zelf hun eigen afhankelijkheden die ook overdraagbaar zijn wanneer ze indirect zijn opgenomen. Dit betekent dat ontwikkelaars veel meer code invoeren, en vaak gebrekkige code, dan ze misschien verwachten. Cross-Site Scripting is het meest voorkomende type kwetsbaarheid in open source-libraries en wordt gevonden in 30% van alle libraries, op de voet gevolgd door insecure deserialization (23.5%) en broken access control (20.3%).

De programmeertaal heeft daarnaast ook invloed op het risico van open source-kwetsbaarheden. Libraries in sommige programmeertalen maken namelijk meer gebruik van overdraagbare afhankelijkheden dan andere talen. Zo is in ruim 80% van alle JavaScript-, Ruby- en PHP-applicaties de meerderheid van de libraries afhankelijk van externe code. Door een PHP-library te gebruiken, heb je zelfs meer dan 50% kans om een veiligheidsfout te introduceren.

Julian Totzek-Hallhuber, Principal Solutions Architect bij Veracode: “Open source-software bevat verrassend veel verschillende soorten kwetsbaarheden. Het attack-surface is niet beperkt tot de eigen code en de code van opgenomen libraries, omdat deze libraries hun eigen afhankelijkheden hebben. In de praktijk voegen developers daardoor veel meer code toe dan ze denken, maar als ze zich daarvan bewust zijn en de juiste fixes toepassen, kunnen ze blootstelling aan risico’s verminderen.”

Klik hier om het State of Software Security: Open Source Edition­-onderzoek van Veracode te downloaden. Klik hier om meer te leren over Veracode Software Composition Analysis.

Hoe vind je dit artikel?


Waardering: Uitstekend (1 rating).

Marktplaats

In aanvulling op dit artikel is het onderstaande item tijdelijk op de marktplaats beschikbaar.

Over Veracode

Veracode is ’s werelds grootste onafhankelijke provider van oplossingen voor applicatiebeveiliging (AppSec). Het bedrijf is een toonaangevende AppSec-partner waarmee development-teams veilige software kunnen ontwikkelen, het risico op kwetsbaarheden kunnen verminderen, security kunnen verbeteren en hun productiviteit kunnen verhogen. Met Veracode kunnen ondernemingen hun visie waarmaken. Dankzij een gecombineerde focus op automatisering, integraties, procesoptimalisatie en snelheid helpt Veracode organisaties met accurate en betrouwbare data effectiever mogelijke kwetsbaarheden te vinden én te verhelpen.

Disclaimer

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191105203105.png
Krijg inzicht in bedrijfsprocessen!
20191030103431.png
Conference by app developers, for app developers!
20191030104037.png
Bringing cultures together and make your team work!
20191029200614.jpg
Drive value with data
20191030102114.jpg
Deliver measurable impact on your business
20191029224512.jpg
Het no-nonsense internetbureau
20191030104826.jpg
We make IT spark!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
Alle rechten voorbehouden © 2019-2020, TechVisor