Veracode, der efter egne oplysninger er verdens største globale leverandør af løsninger til at sikkerhedsteste applikationer, AST, afslører i en ny undersøgelse, at det offentlige og uddannelsessektoren ofte udsender applikationer med en høj bestanddel af fejl. Undersøgelsen viser, at størstedelen af organisationerne i de to sektorer arbejder med store applikationer, som indeholder ældre kodebaser sammenlignet med andre sektorer. Der er dog tegn på, at udviklere i disse brancher moderniserer deres tilgang til at finde og løse fejl hurtigere for at skærpe sikkerheden.

I undersøgelsen har Veracode analyseret tusindvis af applikationer i offentlige myndigheder og uddannelsesinstitutioner for at fastslå DevSecOps-trends. Her har de opdaget, at hele 80 procent af applikationerne i sektoren har mindst én fejl, hvilket er det højeste tal sammenlignet med andre brancher som finans-, detail- og teknologibranchen. Det skal dog bemærkes, at blot 23 procent af fejlene er svært kritiske fejl, hvilket placerer sektoren på niveau med finansbranchen og sundhedssektoren, som klarer sig bedst på dette område sammenlignet med alle andre brancher.

Mens størstedelen af fejlene ikke er kritiske, så øger den samlede mængde af uløste fejl risikoen for, at en applikation kan blive udnyttet. Og det kan ske i mere end syv måneder, som det tager at løse halvdelen af de fejl, som bliver fundet i de offentlige myndigheders og uddannelsessektorens applikationer.

Tre tips til bedre softwaresikkerhed hos offentlige myndigheder og i uddannelsessektoren:

• Automatiske scanninger med API’er: Med et skifte mod DevOps og hurtigere lanceringer kan brugen af automatiske scanninger tillade udviklere at starte tests gennem de værktøjer, som de allerede bruger. To tiltag, der direkte kan påvirke, hvor hurtigt fejl bliver løst – frekvensen af applikationsscanninger og automatiske scanninger med API’er – bliver i stigende grad implementeret i det offentlige og uddannelsessektoren. Branchen er førende sammenlignet med andre brancher, når det gælder, hvor ofte der scannes for fejl og ved at bruge API’er til at integrere scanninger igennem hele udviklingsprocessen.

• Scan igennem hele udviklingsprocessen: I det offentlige og i uddannelsesorganisationer bliver sikkerhedstests stadig gemt til kort før en stor lancering eller finder sted på ad hoc-basis. I stedet bør det sikres, at der konsekvent scannes ved hvert led i udviklingen. Kadencen er styret af udvikleren, og det kan have enorm betydning for sikkerhedsniveauet i applikationen.

• Prioriter fejlløsning: Umiddelbar fejlløsning er mulig, hvis man har en høj frekvens af regulere scanninger. Ældre fejl har det med at blive hængende, og udviklerholdet vælger muligvis ikke at allokere kapacitet til at løse dem. Fejlenes væsentlighed og applikationens betydning for forretningen er faktorer, som teams bruger til at prioritere, hvilke fejl som skal løses først. I forhold til forekomsten af fejl, opstår SQL injection 33 procent oftere i det offentlige og i uddannelsessektorens applikationer sammenlignet med alle andre brancher, og cross-site scripting og utilstrækkelig inputvalidering sker ligeledes oftere i denne branche sammenlignet med andre. Dog forekommer halvdelen af de 10 værste fejltyper i færre tilfælde i det offentlige og i uddannelsessektorens applikationer.

Branchen fortsætter samtidig med at kæmpe med databrud. Alene i 2020 har der blandt andet været brud i U.S. Small Business Administration, i UK Home Office, i the University of York og i Danmarks skatteportal.

- De fleste applikationsproblemer i det offentlige og i uddannelsessektoren er ikke katastrofale. Ved at fortsætte med at gøre brug af DevSecOps-praksisser som konsekvent at scanne applikationer for defekter og at bruge adskillige testtyper, kan udviklere i disse organisationer tage store skridt mod sikrere kode, siger Chris Eng, Chief Research Officer hos Veracode.