Amsterdam, 16 september 2020 – Zeven van de tien applicaties bevatten een kwetsbaarheid door het gebruik van open source-code, blijkt uit onderzoek van
Veracode, de grootste onafhankelijke wereldwijde provider van oplossingen voor
application security testing (AST).
Het
State of Software Security (SOSS): Open Source Edition-onderzoek van Veracode analyseerde de open source-libraries die deel uitmaken van de Veracode platform-database, die 85.000 applicaties bevat en goed is voor 351.000 unieke externe libraries.
Vrijwel alle moderne applicaties bevatten open source-componenten. Maar een kwetsbaarheid in een enkele library kan een domino-effect hebben op alle applicaties die deze code gebruiken. Hierdoor kunnen open source-libraries nieuwe kwetsbaarheden introduceren, die risico’s vergroten en bijdragen aan de security debt: het aantal geïdentificeerde kwetsbaarheden in software dat niet is opgelost. Gelukkig kunnen dit soort kwetsbaarheden in de meeste applicaties worden verholpen met een kleine versie-update; grootschalige updates zijn meestal niet nodig.
Het
attack-surface van een applicatie is niet beperkt tot de code en de code van de packages die developers expliciet insluiten. Libraries hebben zelf hun eigen afhankelijkheden die ook overdraagbaar zijn wanneer ze indirect zijn opgenomen. Dit betekent dat ontwikkelaars veel meer code invoeren, en vaak gebrekkige code, dan ze misschien verwachten.
Cross-Site Scripting is het meest voorkomende type kwetsbaarheid in open source-libraries en wordt gevonden in 30% van alle libraries, op de voet gevolgd door
insecure deserialization (23.5%) en
broken access control (20.3%).
De programmeertaal heeft daarnaast ook invloed op het risico van open source-kwetsbaarheden. Libraries in sommige programmeertalen maken namelijk meer gebruik van overdraagbare afhankelijkheden dan andere talen. Zo is in ruim 80% van alle JavaScript-, Ruby- en PHP-applicaties de meerderheid van de libraries afhankelijk van externe code. Door een PHP-library te gebruiken, heb je zelfs meer dan 50% kans om een veiligheidsfout te introduceren.
Julian Totzek-Hallhuber, Principal Solutions Architect bij Veracode: “Open source-software bevat verrassend veel verschillende soorten kwetsbaarheden. Het
attack-surface is niet beperkt tot de eigen code en de code van opgenomen libraries, omdat deze libraries hun eigen afhankelijkheden hebben. In de praktijk voegen developers daardoor veel meer code toe dan ze denken, maar als ze zich daarvan bewust zijn en de juiste fixes toepassen, kunnen ze blootstelling aan risico’s verminderen.”
Klik
hier om het State of Software Security: Open Source Edition-onderzoekvan Veracode te downloaden. Klik
hier om meer te leren over Veracode Software Composition Analysis.
Over Veracode
Veracode is ’s werelds grootste onafhankelijke provider van oplossingen voor applicatiebeveiliging (AppSec). Het bedrijf is een toonaangevende AppSec-partner waarmee development-teams veilige software kunnen ontwikkelen, het risico op kwetsbaarheden kunnen verminderen, security kunnen verbeteren en hun productiviteit kunnen verhogen. Met Veracode kunnen ondernemingen hun visie waarmaken. Dankzij een gecombineerde focus op automatisering, integraties, procesoptimalisatie en snelheid helpt Veracode organisaties met accurate en betrouwbare data effectiever mogelijke kwetsbaarheden te vinden én te verhelpen. Veracode ondersteunt wereldwijd ruim 2.500 klanten in uiteenlopende branches. De oplossingen van Veracode hebben meer dan 15 biljoen regels code geëvalueerd en ondernemingen geholpen meer dan 51 miljoen kwetsbaarheden te verhelpen.
Ga voor meer informatie naar
www.veracode.com, bezoek het Veracode
blog en het
Twitter-kanaal.
Copyright © 2019 Veracode, Inc. Alle rechten voorbehouden. Alle andere merknamen, productnamen en trademarks zijn eigendom van de respectievelijke merkhouders.