Bijna alle Java apps bevatten beveiligingsproblemen
In software worden allerlei componenten met regelmaat gebruikt. Dit is echter niet zonder risico. Zo bevat pakweg 97% van alle Java applicaties een component waarin ten minste één bekend beveiligingsprobleem aanwezig is.
Dit blijkt uit het State of Software Security 2016 rapport van VeraCode. Zo wijst VeraCode op een deserialisatie-kwetsbaarheid in een versie van Apache Commons Collection, die inmiddels is verholpen via een update. De kwetsbare versie blijkt echter door 26,3% van alle Java apps te worden gebruikt. Deze apps zijn hierdoor nog steeds kwetsbaar voor het probleem.
‘Controleer eigen code op problemen’
Het bedrijf stelt dat indien een beveiligingsprobleem opduikt in third-party software, dit voor organisaties aanleiding zou moeten zijn om hun eigen code te controleren op de bron van dit probleem. Ook benadrukt VeraCode dat ontwikkelaars weliswaar een ‘Software Composition Analysis’ kunnen uitvoeren, maar dat vergelijkbare problemen in andere componenten niet inzichtelijk maakt.
Ontwikkelaars nemen overigens al allerlei maatregelen om hun apps veilig te houden. Zo implementeren ontwikkelaars protocollen voor veilige communicatie. In de helft van alle gevallen is deze communicatie echter niet goed geconfigureerd, waardoor zij apps in de praktijk niet beschermen.
Zorgsector verhelpt de minste kwetsbaarheden
Een andere zorgwekkende conclusie uit het onderzoek is het feit dat de zorgsector op dit moment beveiligingsproblemen het minst snelst verhelpt van alle sectoren. Ook haalt de sector de op één na laagste score in de OWASP test van alle sectoren. Dit is opvallend, aangezien problemen met cryptografie en het beheer van inloggegevens in de sector veel voorkomen. VeraCode noemt de resultaten problematisch, zeker met het oog op recente ransomware aanvallen en andere cyberaanvallen op zorgorganisaties.
Ook blijkt uit het onderzoek dat de topkwartiel van organisaties bijna 70% meer kwetsbaarheden verhelpt dan de gemiddelde organisatie. Best practices en de inzet van eLearning kan er voor zorgen dat kwetsbaarheid zes maal vaker worden opgelost. Ontwikkelaars die software op onofficiële wijze testen via Developer Sandbox verhelpen beveiligingsproblemen twee maal zo vaak.
Rapport
Alle resultaten en meer informatie is te vinden in het State of Software Security 2016 rapport van VeraCode.
Meer over
Lees ook
Secure Pro Keyboard versleutelt draadloze verbinding met computer
Wie met gevoelige documenten werkt moet goed op zijn beveiliging letten. Alleen een virusscanner installeren is niet voldoende. Een keylogger, een oplossing die de toetsaanslagen op een machine registreert, is bijvoorbeeld beschikbaar in zowel een softwarematige als hardwarematige variant. De hardwarematige variant wordt door antivirussoftware nie1
Orange Business Services neemt Atheos over
Orange Business Services neemt Atheos over, een Europese speler op het gebied van cyberdefensie. Atheos werd in 2002 opgericht en is pionier op het gebied van IT-identificatie en beveiligingsmanagement. Met zo’n 130 experts op het gebied van cyberveiligheid ondersteunt Atheos grote bedrijven in het definiëren, implementeren en handhaven van hun be1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1