Overheids- en onderwijsinstellingen rollen vaak applicaties uit met een grote hoeveelheid kwetsbaarheden. De meerderheid van de organisaties met grotere applicaties werken met oudere codebases, in vergelijking met andere onderzochte sectoren. Wel zijn er genoeg aanwijzingen dat ontwikkelaars in deze sectoren hun werkwijzen moderniseren om sneller kwetsbaarheden op te sporen en te verhelpen, en zo hun softwarebeveiliging te verbeteren.
Dit blijkt uit onderzoek van Veracode. In het onderzoek analyseerde Veracode duizenden applicaties binnen overheids- en onderwijsinstellingen om trends in DevSecOps te vinden. 80% van de geanalyseerde applicaties bevatte minstens één kwetsbaarheid – het hoogste percentage van alle sectoren in het onderzoek. Maar slechts 23% van de kwetsbaarheden was zeer ernstig, waarmee overheid en onderwijs (samen met financiële dienstverlening en zorginstellingen) juist weer het best presteren van alle sectoren.
Hoewel de meeste ontdekte kwetsbaarheden op zichzelf niet ernstig zijn, zorgt een opeenstapeling van kwetsbaarheden ervoor dat de kans dat een applicatie kan worden misbruikt toeneemt – en overheids- en onderwijsinstellingen hebben meer dan zeven maanden nodig om slechts de helft van alle ontdekte kwetsbaarheden te verhelpen.
3 tips voor goede applicatiebeveiliging in overheid en onderwijs:
Wat de meest voorkomende fouten betreft: SQL-injecties komen binnen overheid en onderwijs 33% vaker voor dan bij andere sectoren, en ook cross-site scripting en gebrekkige input-validatie komen vaker voor. Maar vijf van de top tien van ernstigste kwetsbaarheden komen juist minder vaak voor in overheids- en onderwijsapplicaties. Bekijk ook deze interactieve infographic voor de meest voorkomende kwetsbaarheden per programmeertaal.
“De meeste kwetsbaarheden in overheids- en onderwijsapplicaties zijn gelukkig niet catastrofaal”, zegt Chris Eng, Chief Research Officer bij Veracode. “Door meer met DevSecOps-tactieken te werken, zoals regelmatige en frequente applicatiescans en het gebruik van verschillende testmethodes, kunnen ontwikkelaars binnen deze organisaties grote stappen maken om hun code veiliger te maken.”
Download het State of Software Security Volume 11 van Veracode voor meer informatie over veel voorkomende kwetsbaarheden en andere inzichten, en download hier de SOSS 11 Infosheet voor overheid en onderwijs.