De staat van Code Security volgens AppSec-professionals

Door · 07/08/2023

De afgelopen tijd is de markt van applicatiebeveiliging geëvolueerd en uitgebreid. De snelle acceptatie van de cloud, gestimuleerd door de Covid-19-pandemie, heeft geleid tot een explosie van cyberbedreigingen en -aanvallen. Traditionele beveiliging is nog steeds belangrijk, maar de beveiliging van API’s en opensource-componenten in software development – gebruikt in 98% van de codebases – wordt steeds belangrijker.

We waren benieuwd hoe de markt omgaat met, en zich voorbereidt op deze nieuwe uitdagingen. Om hierover meer te weten te komen, zijn eerder dit jaar AppSec-professionals en -ontwikkelaars geïnterviewd om te achterhalen wat volgens hen de belangrijkste uitdagingen en AppSec-trends zijn.

De meest opvallende uitkomsten

Veel organisaties staan nog aan het begin van hun DevSecOps implementatie.

    • 57% is bezig met de implementatie van DevSecOps, en 29% gaat dat doen in het aankomende jaar.
    • 62% vindt en repareert kwetsbaarheden tijdens het ontwikkelen van software.
    • De meeste organisaties vertrouwen nog steeds op handmatige methodes om kwetsbaarheden op te sporen:

» 64% reviewt code handmatig.

» 60% maakt gebruik van handmatige applicatie-pentests.

Uitdagingen op het gebied van cloud staan aan de top als het gaat om security-hoofdpijndossiers bij organisaties.

    • 31% verklaart dat het beschermen van cloudomgevingen hun grootste punt van aandacht is.
    • 38% gebruikt hybride methodes (een mix van on-premises en cloudgebaseerde tools) voor applicatiebeveiliging.
    • 23% investeert het grootste gedeelte van hun code securitybudget in cloudinfrastructuur.

Static application security testing (SAST) neemt toe. De meeste organisaties maken nog geen gebruik van dynamische methodes, maar zijn dat wel van plan.

    • 56% gebruikt SAST en doet assessments voor applicatiebeveiliging.
    • Slechts 45% heeft dynamische analyse-tools geïmplementeerd.
    • Slechts 37% gebruikt interactieve application security testing (IAST), een tool voor dynamische analyse. Een extra 46% is van plan om IAST te adopteren in het komende half jaar of jaar.

Iedereen voelt zich kwetsbaar als het om APIs gaat, maar kleine bedrijven doen niet genoeg om zich te beschermen.

    • API security wordt door iedereen gezien als de meest kwetsbare plek.
    • Maar slechts 39% heeft een speciale tool om API security te testen.

Bijna de helft is van plan Software Composition Analyse (SCA) te implementeren als antwoord op zorgen rondom opensource componenten.

    • Na API’s worden opensource-componenten gezien als het grootste risico.
    • 26% van de respondenten ziet zich geconfronteerd met de risico’s die veelvuldig gebruik van onveilige opensource code libraries met zich meebrengen.
    • 46% is van plan om binnen het komende jaar over te stappen op SCA.
De AppSec Maturity Road

Bovenstaande uitkomsten laten zien dat er nog veel te winnen valt op het gebied van applicatie security. Hieronder beschrijven we de hoofdthema’s die organisaties die zich willen gaan richten op de beveiliging van API’s en opensource-componenten in codebases moeten begrijpen en adresseren om hun weg naar AppSec maturity succesvol te bewandelen.

Shift everywhere

Duidelijk is dat er qua applicatie code security een zogenaamde shift-left en uiteindelijk een shift-everywhere nodig is: in het proces van software-ontwikkeling moeten beveiligingsprotocollen eerder en vaker worden geïntegreerd. Meer dan de helft van de ondervraagde organisaties gebruikt statische applicatietesten (SAST), zij testen in een vroeg stadium, voor gebruik, de broncode op bekende kwetsbaarheden. Zij blijven echter achter in het toepassen van dynamische analyse en testen op verschillende momenten in het ontwikkelingstraject. Interesse is er ook voor de implementatie van software composition analysis (SCA) waarmee afhankelijkheden kunnen worden geanalyseerd en gevolgd, waaronder ook opensource-componenten.

Implementatie uitdagingen.

Het beheer van security-tools en -processen in een hybride multi-cloudomgeving is een van de grootste uitdagingen bij de implementatie van DevSecOps. Gevolgd door het frequente gebruik van onbeveiligde opensource code-libraries en onderlinge afhankelijkheden in het proces van software-ontwikkeling. De beveiliging van de software supply chain mag niet in het gedrang komen. API’s vormen voor alle ondervraagden het gebied waarop zij het makkelijkst aangevallen kunnen worden; API-beveiliging en API-orkestratie zijn voor iedereen een belangrijk punt van aandacht.
Als laatste grote uitdaging wordt organisatiecultuur genoemd. Vastgeroeste gewoontes binnen security-teams moeten aangepakt en aangepast worden om veranderingen te kunnen realiseren.

Factoren die van invloed zijn op de acceptatie van tools

Op hun weg naar AppSec maturity profiteren veel organisaties van de nieuwe tools die beschikbaar zijn. Als het gaat om het kiezen hiervan en het investeren in code security hebben de ondervraagden dezelfde prioriteiten. Nauwkeurigheid en grondigheid van herstel van de kwetsbare plekken en integratie van developer- en operationele tools worden respectievelijk als de twee topprioriteiten gezien. In overeenstemming met de huidige trends, zetten organisaties het liefst tools in die integreren in bestaande workflow- en implementatieplatforms voor ontwikkelaars. Codebeveiliging – het inbouwen van beveiliging in het codeproces – is hierbij een belangrijke drijfveer.

Een “mix-&-match” benadering voor applicatiebeveiliging wordt daarbij veel gehanteerd. Organisaties kiezen best-of-breed opties van diverse leveranciers. Met het oog op de complexe hybride omgeving is deze aanpak begrijpelijk, maar het resulteert wel in meer tools om te beheren en dus meer werk.

Resultaten en het bijhouden van succes

Voor organisaties die vooruitgang willen boeken op hun weg naar AppSec maturity, is het van cruciaal belang om successen en fouten op het gebied van security bij te houden en te evalueren. Het vinden van valse positieven en negatieven mag niet belangrijker worden dan het oplossen van problemen in de beveiliging. De meeste organisaties volgen of beheren het succes van hun AppSec oplossingen door te kijken naar veranderingen in aantal en type van de gevonden kwetsbaarheden. Bijna de helft houdt bij of ze compliant zijn met de verschillende voorschriften en eisen.

Om over na te denken

Veel organisaties zijn bezig met het veranderen van hun applicatiebeveiliging. Zij onderkennen de nieuwe uitdagingen en beginnen DevSecOps te implementeren en de beste tools van verschillende security leveranciers te combineren. Vooral grotere organisaties hebben inmiddels stappen gezet om security eerder op te nemen in het software-developmentproces waardoor kwetsbare plekken eerder worden gesignaleerd. Maar deze ‘shift-left’ benadering is niet genoeg. Gedurende het hele proces moeten eigenlijk overal security tools toegepast worden door dynamische analysetools met statische tools te integreren. Shift-everywhere in plaats van alleen een shift-left. Deze situatie wordt vervolgens geanalyseerd en geëvolueerd, nieuwe uitdagingen worden geconstateerd, waarna de cyclus opnieuw begint. Er ontstaat zo een meer holistische benadering van applicatiebeveiliging.

Bron voor codebeveiliging

Lees de gedetailleerde uitkomsten van dit onderzoek in het 2023 State of Code Security-rapport.

Lees ook:

Tags:

Gerelateerde berichten...

Volg ons:

Uitgelicht

Van datastrategie naar succesvolle AI-toepassing: de ervaringen van Schiphol

 Wat is er nodig om de mogelijkheden van Artificial Intelligence (AI) daadwerkelijk in de praktijk te benutten? Maarten van den ...

RGF Staffing voert succesvolle ‘openhartoperatie’ uit op haar applicatielandschap

Een complex applicatielandschap met veel maatwerk vereenvoudigen en migreren naar standaardapplicaties. Het is de wens van veel bedrijven, maar bijna ...

Congresaanbod Heliview 2024

Heliview organiseert ook in 2024 weer verschillende congressen met als doel duurzame contacten tot stand te brengen en kennis te ...

Tim Verbrugge (L) en Mike Bergman (R)

Haal meer uit Teams

Sinds we in 2020 wereldwijd tot online communicatie werden gedwongen, zijn oplossingen als Teams uitgegroeid tot de nieuwe overlegstandaard. Toch ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

» Meer bedrijfsnieuws