SecurityWorldMarket

21-09-2020

Syv ud af ti webapplikationer har sikkerhedsfejl

Så mange som 70 procent af de webapplikationer, der anvendes i dag, har mindst én sikkerhedsfejl, som kan knyttes til open source. Det viser en ny rapport fra Veracode, verdens største uafhængige udbyder af AST-løsninger (Application Security Testing).

Næsten alle moderne webapplikationer er bygget ved hjælp af en eller anden form for open source-kode. Brug af open source-koder kan dog være risikabel. En lille fejl i et programbibliotek kan føre til, at alle applikationer, der bruger denne kode, kompromitteres, viser den nye it-sikkerhedsrapport State of Software Security: Open Source Edition.

Bag rapporten står Veracode, den uafhængige og verdensledende AppSec-partner. I sit arbejde med Open Source Edition har Veracode analyseret 85.000 applikationer og mere end 350.000 programbiblioteker, hvoraf 70 procent havde en eller anden form for sikkerhedsfejl. Undersøgelsen viser, at næsten halvdelen af dem (47%) opstår indirekte via andre programmører, der bruger den samme open source-kode. Heldigvis kan størstedelen (75%) af disse sårbarheder korrigeres med en enkel versionopdatering.

- Software med open source-kode indeholder overraskende mange sikkerhedsfejl. Desværre er en applikations angrebsflade ikke kun begrænset til dens egen kode, fordi open source-koder lever deres eget liv, siger Julian Totzek-Hallhuber, Principal Solutions hos Veracode.

Undersøgelsen viser også, at såkaldt cross-site scripting (XSS) er den mest almindelige sårbarhedskategori. Veracode opdagede XSS i næsten en tredjedel (30%) af open source softwarebiblioteker. Den næst mest almindelige er usikker deserialisering (23,5%) efterfulgt af broken access control (20,3%).

- Software med open source-kode giver virksomheder store fordele. Dette betyder dog ikke, at tingene kommer gratis, men koden skal håndteres for at undgå egne bidrag, siger Julian Totzek-Hallhuber hos Veracode.

State of Software Security (SoSS) IT-sikkerhedsrapport er blevet udarbejdet årligt i ti år og er branchens største kvantitative undersøgelse af applikationssikkerhedsrisici. Den statistik, som er anvendt ovenfor, er taget fra den specielle Open Source Edition.


Leverandører
Tilbage til toppen