Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
En ny undersøgelse fra Veracode, leverandør af løsninger til at sikkerhedsteste applikationer, viser at, at det offentlige og uddannelsessektoren ofte udsender applikationer, der indeholder mange fejl.
Undersøgelsen afslører, at størstedelen af organisationerne i de to sektorer arbejder med store applikationer, som indeholder ældre kodebaser sammenlignet med andre sektorer. Der er dog tegn på, at udviklere i disse brancher moderniserer deres tilgang til at finde og løse fejl hurtigere for at skærpe sikkerheden.
23 procent kritiske fejl
I undersøgelsen har Veracode analyseret tusindvis af applikationer hos offentlige myndigheder og i uddannelsesinstitutioner for at fastslå DevSecOps-trends. Her har de opdaget, at hele 80 procent af applikationerne i sektoren har mindst én fejl, hvilket er det højeste tal sammenlignet med andre brancher som finans-, detail- og teknologibranchen.
Et nærmere kig på tallene viser dog, at blot 23 procent af fejlene er svært kritiske fejl, hvilket placerer sektoren på niveau med finansbranchen og sundhedssektoren, som klarer sig bedst på dette område sammenlignet med alle andre brancher.
Det er dog også værd at bemærke, at den samlede mængde af uløste fejl betyder, at der er en øget risiko for, at applikationerne kan blive udnyttet. Samtidig kan det tage op mod syv måneder at løse halvdelen af de fejl, som bliver fundet i de offentlige myndigheders og uddannelsessektorens applikationer – en periode, hvor applikationerne altså er en sikkerhedsrisiko.
Veracode har tre tips til bedre softwaresikkerhed hos offentlige myndigheder og i uddannelsessektoren:
1. Automatiske scanninger med API’er
Med et skifte mod DevOps og hurtigere lanceringer kan brugen af automatiske scanninger tillade udviklere at starte tests gennem de værktøjer, som de allerede bruger. To tiltag, der direkte kan påvirke, hvor hurtigt fejl bliver løst – frekvensen af applikationsscanninger og automatiske scanninger med API’er – bliver i stigende grad implementeret i det offentlige og uddannelsessektoren. Branchen er førende sammenlignet med andre brancher, når det gælder, hvor ofte der scannes for fejl og ved at bruge API’er til at integrere scanninger igennem hele udviklingsprocessen.
2. Scan igennem hele udviklingsprocessen
I det offentlige og i uddannelsesorganisationer bliver sikkerhedstests stadig gemt til kort før en stor lancering eller finder sted på ad hoc-basis. I stedet bør det sikres, at der konsekvent scannes ved hvert led i udviklingen. Kadencen er styret af udvikleren, og det kan have enorm betydning for sikkerhedsniveauet i applikationen.
3. Prioriter fejlløsning
Umiddelbar fejlløsning er mulig, hvis man har en høj frekvens af regulere scanninger. Ældre fejl har det med at blive hængende, og udviklerholdet vælger muligvis ikke at allokere kapacitet til at løse dem. Fejlenes væsentlighed og applikationens betydning for forretningen er faktorer, som teams bruger til at prioritere, hvilke fejl som skal løses først. I forhold til forekomsten af fejl, opstår SQL-injection 33 procent oftere i det offentlige og i uddannelsessektorens applikationer sammenlignet med alle andre brancher, og cross-site scripting og utilstrækkelig inputvalidering sker ligeledes oftere i denne branche sammenlignet med andre. Dog forekommer halvdelen af de 10 værste fejltyper i færre tilfælde i det offentlige og i uddannelsessektorens applikationer.
”De fleste applikationsproblemer i det offentlige og i uddannelsessektoren er ikke katastrofale. Ved at fortsætte med at gøre brug af DevSecOps-praksisser som konsekvent at scanne applikationer for defekter og at bruge adskillige testtyper kan udviklere i disse organisationer tage store skridt mod sikrere kode,” skriver Chris Eng, chief research officer hos Veracode i en pressemeddelelse.