Apps er spækket med sikkerhedsfejl
En fjerdedel af webapplikationer er fyldt med kritiske sikkerhedsfejl. Og halvdelen af sikkerhedsfejlene i apps er ikke rettet seks måneder efter, de er opdaget, viser ny omfattende rapport fra den globale app-sikkerhedsudbyder, Veracode

Apps er spækket med sikkerhedsfejl

En fjerdedel af webapplikationer er fyldt med kritiske sikkerhedsfejl. Og halvdelen af sikkerhedsfejlene i apps er ikke rettet seks måneder efter, de er opdaget, viser ny omfattende rapport fra den globale app-sikkerhedsudbyder, Veracode

Ny global sikkerhedsrapport afslører, at størstedelen af apps har mindst én sikkerhedsbrist. Veracode, verdens største udbyder af testsystemer inden for app-sikkerhed (AST), har netop offentliggjort sin rapport State of Software Security (SOSS) Volume 11, der udkommer årligt og tager temperaturen på sikkerhedsniveauet på apps på verdensplan. I år er analysearbejdet baseret på 130.000 apps, og den viser blandt andet, at det tager omkring 6 måneder at lukke halvdelen af de fundne fejl.

Rapporten afslører også nogle ’best practices’, der i signifikant grad kan forbedre hastigheden på at få løst problemerne. Veracode erfarer, at der er nogle faktorer, som de sikkerhedsansvarlige i en virksomhed har meget lidt kontrol over, og nogle, som de har meget kontrol over. Veracode kategoriserer dem som ’nature’ og ’nurture’. Indenfor den første kategori inkluderer Veracode faktorer som applikationens og organisationens størrelse samt omfanget af sikkerhedsbristen, mens den anden kategori dækker handlinger som scanningsfrekvens, kadence og scanning via API\'er.

  • Apps med indbyggede fejl er normen: 76 procent af aktive apps har mindst én sikkerhedsbrist, hvoraf 24 procent har alvorlige fejl. Det er et godt tegn, at de fleste apps ikke har kritiske fejl, der indebærer alvorlige risici for appen. Hyppig scanning kan desuden reducere den tid, det tager at løse halvdelen af de identificerede problemer med mere end tre uger.
  • Antallet af open source-fejl er støt stigende: Mens 70 procent af alle apps har ’arvet’ mindst én sikkerhedsfejl fra deres egen open source-kode, viser rapporten også, at 30 procent af de undersøgte apps har flere fejl i den anvendte open source-kode end fra selve kodearbejdet produceret af den enkelte programmør. Den væsentligste læring er, at softwaresikkerhed opnås, hvis man ser på det fulde billede, som inkluderer, at man identificerer og scanner den tredjepartskode, der er anvendt i appen. 
  • Rapporten viser, at flere scanningstyper og en DevSecOps-tilgang optimerer effektiviteten: Arbejder man med en kombination af flere forskellige scanningstyper, herunder statisk analyse (SAST), dynamisk analyse (DAST) og softwarekompositionsanalyse (SCA) forbedrer man hastigheden for reparationerne. Dem, som anvender SAST og DAST sammen, har kunnet løse halvdelen af fejlene 24 dage hurtigere.
  • Det er afgørende at få betalt af på sikkerhedsgælden: Sammenhængen mellem at scanne apps ofte og at kunne reducere tiden, det tager at løse problemerne er allerede slået fast i Veracodes tidligere State of Software Security research. Dette års rapport viser også, at man kan reducere den overordnede risiko ved at fikse sin backlog med kendte fejl. Rapporten konkluderer desuden, at det tager væsentligt længere tid at afhjælpe problemer i ældre apps med høj fejltæthed. Gennemsnitligt tager det yderligere 63 dage at reparere halvdelen af fejlene.
  • Automatisk fejlfinding og -løsning: De som automatisk tester gennem SDLC har kunnet identificere og udbedre halvdelen af fejlene 17,5 dage hurtigere, end hvis man scanner på en mindre automatiseret måde, viser rapporten.

Kunsten at løse sikkerhedsbrister: ’Nature’ eller ’nurture’?

Der er håb forude. State of Software Security 11-rapporten afslører, at håndtering af problemer inden for moderne DevSecOps-praksis resulterer i, at flere fejl bliver løst. Hvis man for eksempel gør brug af flere slags app-scanningsværktøjer, arbejder med mindre eller mere moderne apps og indarbejder sikkerhedstestning som en del af processen via en API, gør det rent faktisk en forskel i forhold til at reducere den tid, det tager at reparere sikkerhedsbristerne. Selv i apps, der ikke er så ideelt opbygget.

"Målet med softwaresikkerhed er ikke at skabe applikationer, der er perfekte, i første forsøg, men at finde og reparere fejlene på en fornuftig måde og i god tid,” siger Chris Eng, Chief Research Officer hos Veracode.

"Selv når man står over for de mest komplekse udfordringer, kan udviklere tage specifikke tiltag i brug for at forbedre app-sikkerheden overordnet set med den rette træning og de rette værktøjer,” uddyber Chris Eng.

Om State of Software Security-rapporten

Veracodes State of Software Security (SOSS) Volume 11-rapport er en omfattende analyse af appsikkerhed fra scanninger af flere end 130.000 aktive applikationer udført af Veracodes kundebase med mere end 2.500 virksomheder. Det repræsenterer branchens mest omfattende sæt af benchmarks for applikationssikkerhed. Rapporten er udarbejdet i samarbejde med dataforskere ved Cyentia Institute for bedre at visualisere og forstå nye trusler, og hvordan udviklere kan skabe apps både bedre og mere sikre.  

- lb