Veracode, een internationale leverancier van oplossingen voor application security testing (AST), concludeert uit onderzoek dat overheids- en onderwijsinstellingen vaak applicaties uitrollen met een grote hoeveelheid kwetsbaarheden. Uit het onderzoek blijkt dat de meerderheid van de organisaties in deze sectoren met grotere applicaties met oudere codebases werken, in vergelijking met andere onderzochte sectoren.
Toch zijn er genoeg aanwijzingen dat ontwikkelaars in deze sectoren hun werkwijzen moderniseren om sneller kwetsbaarheden op te sporen en te verhelpen, en zo hun softwarebeveiliging te verbeteren.
In het onderzoek analyseerde Veracode duizenden applicaties binnen overheids- en onderwijsinstellingen om trends in DevSecOps te vinden. 80% van de geanalyseerde applicaties bevatte minstens één kwetsbaarheid – het hoogste percentage van alle sectoren in het onderzoek. Maar slechts 23% van de kwetsbaarheden was zeer ernstig, waarmee overheid en onderwijs (samen met financiële dienstverlening en zorginstellingen) juist weer het best presteren van alle sectoren.
Hoewel de meeste ontdekte kwetsbaarheden op zichzelf niet ernstig zijn, zorgt een opeenstapeling van kwetsbaarheden ervoor dat de kans dat een applicatie kan worden misbruikt toeneemt – en overheids- en onderwijsinstellingen hebben meer dan zeven maanden nodig om slechts de helft van alle ontdekte kwetsbaarheden te verhelpen.
3 tips voor goede AppSec in overheid en onderwijs:
- Automatiseer het scanproces met API’s: Wanneer DevOps-werkwijzen worden toegepast en releases sneller worden uitgebracht, kunnen ontwikkelaars scans automatiseren vanuit de tools die ze reeds gebruiken. Twee zaken die direct impact hebben op hoe snel kwetsbaarheden kunnen worden verholpen – scanfrequentie en scanautomatisering via API’s – worden in toenemende mate geïmplementeerd binnen overheids- en onderwijsinstellingen. Deze sectoren zijn zelfs voorlopers in hoe vaak ze scannen en in het gebruik van API’s om scans in het ontwikkelingsproces te integreren. Een ontwikkeling om vast te blijven houden.
- Scan tijdens iedere fase van het ontwikkelingsproces: in overheids- en onderwijsorganisaties worden beveiligingstesten nog steeds alleen vlak voor een grote release of op ad-hoc basis gedaan. Zorg er in plaats daarvan voor dat er in elke fase van het ontwikkelingsproces consequent wordt gescand. De ontwikkelaar heeft controle over de regelmaat van de scans, wat een enorme impact kan hebben op applicatiebeveiliging.
- Geef prioriteit aan het verhelpen van kwetsbaarheden: wanneer applicaties vaak en met regelmaat worden gescand, kunnen kwetsbaarheden direct worden verholpen. Maar oudere kwetsbaarheden blijven vaker openstaan, en teams besteden hier vaak geen tijd aan. Hoewel de ernst van kwetsbaarheden en de impact van de applicatie op bedrijfsresultaten deels bepalen welke kwetsbaarheden het eerst worden opgelost, leidt het negeren van te veel oudere fouten tot te veel security debt.
Wat de meest voorkomende fouten betreft: SQL-injecties komen binnen overheid en onderwijs 33% vaker voor dan bij andere sectoren, en ook cross-site scripting en gebrekkige input-validatie komen vaker voor. Maar vijf van de top tien van ernstigste kwetsbaarheden komen juist minder vaak voor in overheids- en onderwijsapplicaties. Bekijk ook deze interactieve infographic voor de meest voorkomende kwetsbaarheden per programmeertaal.
“De meeste kwetsbaarheden in overheids- en onderwijsapplicaties zijn gelukkig niet catastrofaal”, zegt Chris Eng, Chief Research Officer bij Veracode. “Door meer met DevSecOps-tactieken te werken, zoals regelmatige en frequente applicatiescans en het gebruik van verschillende testmethodes, kunnen ontwikkelaars binnen deze organisaties grote stappen maken om hun code veiliger te maken.”