Den finansielle sektor bedst til at finde sikkerhedsfejl

Den finansielle sektor bedst til at finde sikkerhedsfejl

Virksomheder i den finansielle sektor løser procentvist flere fejl end virksomheder i andre brancher, men ofte bliver de løst alt for langsomt, viser stor undersøgelse fra it-sikkerhedsvirksomheden Veracode

Applikationer i den finansielle sektor har den bedste rate i forhold til at få rettet fejl, nemlig 75 procent.

Det viser en stor undersøgelse fra it-sikkerhedsvirksomheden Veracode, som er verdens største udbyder af appsikkerhedstestløsning (AST). Undersøgelsen bygger på en global analyse af 130.000 applikationer fra 2.500 virksomheder.

Resultatet af Veracode’s State of Software Security Volume 11-rapport viser, at den finansielle sektor generelt har den bedste fejlretningsrate sammenlignet med industrier som sundhed, detailhandel og turisme, produktion, teknologi og det offentlige.

Finansielle organisationer er særligt gode til at løse fejl, der angår open source-komponenter, sammenlignet med andre brancher. Og det er væsentligt, fordi angrebsfladen for applikationer bliver langt større, når de benytter open source-biblioteker.

Når det gælder fejlrettelser, er produktionsbranchen den, der scorer lavest. Her er det kun 59 procent af samtlige fejl, der bliver rettet.

Fejlene bliver rettet for langsomt

Mens finansielle virksomheder har en høj reparationsrate, er rettelserne af fejl i flere tilfælde langsommere end i andre industrier, viser undersøgelsen fra Veracode. De skal nemlig bruge 198 dage for at rette halvdelen af fejlene.

”Finansielle servicevirksomheder har en mediantid for at afhjælpe fejl på over seks måneder, selvom de har en høj fejlretningsrate sammenlignet med andre brancher,” siger Chris Wysopal, Chief Technology Officer i Veracode, og uddyber:

”Udviklere i den finansielle sektor er dog ofte begrænset af det miljø, de arbejder i, hvor applikationer som regel er af ældre dato, har en middel fejlrate og ikke konsekvent følger DevSecOPs praksis sammenlignet med andre brancher.”

Resultater knyttet specifikt til den finansielle sektor:
Veracodes undersøgelse viser med tydelighed, at udvikleradfærd knyttet til DevSecOps skaber mærkbare fordele for softwaresikkerheden. Undersøgelsens resultater afslører, at finansielle virksomheder er:

  • Brancheførende inden for at rette fejl i open source-software og etablering af stærk scanningshyppighed.
  • Har middel frekvens af scanningshyppighed og integration af sikkerhedstests for at afdække sårbarheder og anvender og bruger sandsynligvis ikke dynamisk analyse (DAST) scanningsteknologi til at afdække sårbarheder.
  • Overgår gennemsnittet på tværs af brancher i at håndtere problemer relateret til kryptografi, inputvalidering, Cross-Site Scripting og credentials management – alle faktorer, som relaterer sig til at beskytte brugere af finansielle applikationer.

Om State of Software Security-rapporten

Veracodes State of Software Security (SOSS) Volume 11-rapport er en omfattende analyse af appsikkerhed fra scanninger af flere end 130.000 aktive applikationer udført af Veracodes kundebase med mere end 2.500 virksomheder. Det repræsenterer branchens mest omfattende sæt af benchmarks for applikationssikkerhed. Rapporten er udarbejdet i samarbejde med dataforskere ved Cyentia Institute for bedre at visualisere og forstå nye trusler, og hvordan udviklere kan skabe apps både bedre og mere sikre.

- lb