Verbeteringen in softwarebeveiliging tonen vooruitgang ondanks uitdagingen, zo blijkt uit Veracode-rapport

Softwarebeveiliging is in de loop der jaren aanzienlijk verbeterd, zoals blijkt uit het recente State of Software Security-rapport van Veracode. Hoewel er nog steeds uitdagingen zijn, zijn applicaties over het algemeen nog nooit zo veilig geweest, wat zorgt voor het broodnodige optimisme te midden van wereldwijde cyberdreigingen.

Ondanks de vooruitgang benadrukt het rapport de wereldschokkende gevolgen die kunnen voortvloeien uit een enkelvoudig kwetsbaarheidsrimpeleffect. Een goed voorbeeld is de wereldwijde SolarWinds-aanval, waarbij bedrijven als Microsoft, Cisco, FireEye en Intel werden blootgesteld vanwege misbruik van schadelijke code in hun Orion-software. Overheidsinstanties en gerenommeerde instellingen waren geen uitzondering op deze inbreuk.

Om dergelijke kwetsbaarheden tegen te gaan, heeft de regering-Biden op 12 mei 2021 een uitvoerend bevel uitgevaardigd, waarin nieuwe maatregelen worden geïntroduceerd om de nationale cyberbeveiliging te versterken. In zijn 12e jaarverslag wil Veracode leiders helpen bij het aanpakken van softwarebeveiliging, het verminderen van risico's en het naleven van deze nieuwe regelgeving.

Het rapport onthult een branchetrend in de richting van de verschuiving naar eentalige apps of microservices. In 2018 gebruikte ongeveer 20 procent van de apps meerdere talen, wat in 2021 terugliep tot minder dan 5 procent. Robuuste continue testpraktijken leidden ertoe dat 90 procent van de apps meerdere keren per week werd gescand, aanzienlijk vaker dan de weinige scans per jaar in 2010.

Bibliotheken van derden zijn in de loop der jaren minder kwetsbaar geworden. In 2017 bevatte 35 procent van de bibliotheken een bekende fout, die in 2021 was teruggebracht tot 10 procent. Er zijn grote vorderingen gemaakt in de hoeveelheid tijd die nodig is om deze kwetsbaarheden van derden op te lossen, wat aangeeft dat er ruimte is voor verbetering.

Bijvoorbeeld in 2017, het bereiken van de helft van de foutoplossing die over drie jaar nodig was; tegen 2021 duurde het iets meer dan een jaar. Maar zelfs met deze winst bleef een alarmerende 77 procent van de gebreken na drie maanden onopgelost.

Door Software Composition Analysis (SCA) toe te passen, ontdekten de onderzoekers dat 97 procent van de Java-apps afhankelijk is van open-sourcebibliotheken, waardoor de dreiging van grootschalige softwarekwetsbaarheden gedurende langere perioden in stand blijft.

Wat betreft het gebruik van code van derden in verschillende talen, lijkt Java het meest afhankelijk te zijn van code van derden. Omgekeerd steeg het gebruik van code van derden door .NET van een eencijferig percentage tot meer dan 50 procent in 2020, samenvallend met de release van .NET 5.

JavaScript en Python vertonen inconsistente patronen, waarbij software voornamelijk interne code of code van derden bevat, terwijl PHP en C++ gericht blijven op code van eigen bodem. Het rapport suggereert dat ontwikkelaars de neiging hebben om te vertrouwen op beproefde bibliotheken in plaats van hun codebases te herstructureren voor nieuwere, trendy alternatieven.

Bovendien onderzoekt het onderzoek van Veracode of specifieke talen gevoeliger zijn voor gebrekkige bibliotheken en evalueert het de voortgang bij het verminderen van kwetsbaarheden in de loop van de tijd. Java-bibliotheken hadden met 12,5 procent het hoogste gemiddelde aantal fouten, op de voet gevolgd door Ruby met ongeveer 10 procent en Python met ongeveer 5 procent. De laagste prevalentie van kwetsbare bibliotheken werd gevonden in PHP, JavaScript en .NET, elk gemiddeld ongeveer 3 procent.

Er werd aanzienlijke vooruitgang geboekt in Java-, JavaScript- en Python-bibliotheken. Sinds 2017 hebben Java-bibliotheken de kwetsbaarheidspercentages verlaagd van ongeveer 25 procent, Python van 20 procent en JavaScript van 10 procent.

Dynamisch scannen in combinatie met statische analyse verbeterde de herstelpercentages met 50 procent en versnelde het proces met gemiddeld 24 dagen. Door SCA in de mix op te nemen, werd het tijdsbestek met nog eens zes dagen verkort.

De Amerikaanse softwareontwikkeling kent een ongekend hoog niveau van beveiliging, ondanks de recente toename van spraakmakende aanvallen die nationale aandacht trekken. Het rapport van Veracode erkent dat er nog werk aan de winkel is, maar dat softwarebeveiliging op de goede weg is. Het gebruik van no-code platforms zoals AppMaster biedt een extra beveiligingslaag, dankzij hun inherente lage risicokarakteristiek, automatische updates en nalevingsbewaking. Met de voortdurende inspanningen om softwarebeveiligingsrisico's aan te pakken, ziet de toekomst er veelbelovend uit.