Veracode, världens största globala leverantör av AST-lösningar (Application Security Testing), presenterar ny forskning som visar att myndigheter och utbildningsorganisationer ofta använder applikationer med hög bristdensitet.
Forskningen fann att majoriteten av organisationerna inom dessa sektorer arbetar med större applikationer som innehåller äldre kodbaser jämfört med andra sektorer. Det finns dock tecken på att utvecklare inom dessa sektorer moderniserar sin strategi för att hitta och åtgärda brister snabbare och därmed förbättra mjukvarusäkerheten.
Veracodes forskning – som analyserade tusentals applikationer i myndigheter och utbildningsorganisationer för att fastställa DevSecOps-trender – fann att 80 procent av applikationerna i sektorn har minst en brist, vilket är det högsta antalet jämfört med flera andra sektorer som bland annat finansiella tjänster, detaljhandel och teknikbranschen. Men endast 23 procent av bristerna med hög svårighetsgrad är i nivå med finanssektorn och hälso- och sjukvårdssektorn för de lägsta bland alla branscher.
Även om majoriteten av dess brister inte är allvarliga ökar ackumuleringen av olösta brister risken för att en applikation utnyttjas; myndigheter och utbildningsorganisationer behöver mer än sju månader för att åtgärda hälften av de brister de finner.
Tre tips för bättre AppSec inom regeringen och utbildningssektorn:
- Automatisera skanning med API:er: med en förskjutning mot DevOps och snabbare lanseringar, med hjälp av automatisk skanning, kan utvecklare starta test från verktygen som de redan använder. Två åtgärder som direkt påverkar hur snabbt fel kan åtgärdas – applikationsskanningsfrekvens och automatisering av skanningar med API:er – implementeras kraftigt i myndigheter och utbildning. Sektorn leder alla branscher i hur ofta den söker efter brister och använder API:er för att integrera skanning under hela utvecklingsprocessen.
- Skanna genom hela utvecklingsprocessen: i myndigheter och utbildningsorganisationer sparas fortfarande säkerhetstester strax före en större lansering eller sker på ad hoc-basis. Se till att det finns konsekvent skanning i hela utvecklingsstadiet. Skanningsfrekvens ligger inom utvecklarens kontroll och kan påverka applikationssäkerheten enormt.
- Prioritera felkorrigering: omedelbar felkorrigering är möjlig med frekvent och regelbunden skanning. Äldre brister tenderar att dröja kvar och teamen kan ofta inte fördela kapacitet för att åtgärda dem. Felangrepp och applikationens affärspåverkan är faktorer som avgör hur team bestämmer vilka brister som ska åtgärdas först. När det gäller förekomsten av brister är SQL-injektion 33% vanligare inom regeringen och utbildningen jämfört med alla sektorer, och skriptöverföring på plats och otillräcklig inmatningsvalidering är också vanligare i denna sektor jämfört med andra. Men fem av de tio främsta bristtyperna totalt sett visar faktiskt en lägre närvaro i myndigheter och utbildning.
Sektorn fortsätter att kämpa med dataintrång också – endast under 2020 har intrång inträffat inom bland annat U.S. Small Business Administration, UK Home Office, University of York och Danmarks statliga skatteportal.
– De flesta applikationsfrågor i regeringen och utbildningssektorn är inte katastrofala. Genom att fortsätta att använda DevSecOps-metoder som att genomsöka applikationer för defekter och använda flera testtyper kan utvecklare i dessa organisationer börja ta steg mot säkrare kod, säger Chris Eng, Chief Research Officer på Veracode.