Veracode maakt bekend dat de helft van de organisaties gebukt gaat onder kritieke beveiligingsschuld waarvan 70% afkomstig is van code van derden en de softwaretoeleveringsketen

BURLINGTON, Mass.--(BUSINESS WIRE)--Veracode, een toonaangevende leider op het gebied van het beheer van toepassingsrisico's, introduceerde vandaag zijn 15^e editie van het State of Software Security (SoSS)-verslag. Het verslag, gebaseerd op een uitgebreide dataset van 1,3 miljoen unieke toepassingen en 126,4 miljoen ruwe gegevens, benadrukt belangrijke trends en biedt een nieuwe kijk op de maturiteit van softwarebeveiliging om de beheerspraktijken voor toepassingsrisico's te verbeteren.

Uit het onderzoek kwam een alarmerende toename van de gemiddelde hersteltijd voor beveiligingsfouten naar voren, van 171 dagen tot 252 dagen in de voorbije vijf jaar en een toename van 327 procent sinds de eerste editie van het verslag vijftien jaar geleden. Bovendien heeft 50% van de organisaties nu kritieke beveiligingsschuld, gedefinieerd als opgehoopte fouten die langer dan een jaar openstaan. Het merendeel van deze kwetsbaarheden is afkomstig van code van derden en de softwaretoeleveringsketen. Onopgeloste beveiligingsschuld maakt organisaties kwetsbaar voor aanvallen, en stelt ze bloot aan reputatie-, financiële en operationele schade.

Chris Wysopal, Chief Security Evangelist bij Veracode, zei, “Het aanvalsoppervlak is ingewikkelder geworden, voornamelijk in de afgelopen jaren met de enorme toename van AI-techniek. Uit het verslag van vorig jaar bleek dat 46 procent van de organisaties een zeer ernstige beveiligingsschuld heeft. Terwijl de jaarlijkse verhoging misschien onbelangrijk lijkt, gaat het de verkeerde richting op. Onze onderzoeken verschaffen harde bewijzen dat organisaties hun schuld kunnen verminderen, maar vele hebben hulp nodig om voorrang te geven aan welke kwetsbaarheden eerst aan te pakken."

Beveiligingsprestaties benchmarken

Veracode’s onderzoek analyseerde ook de distributie van beveiligingsschuld in organisaties. Terwijl sommige bijna geen schuld hebben en anderen er bijna in verdrinken, valt de rest ergens in het midden, met een mix van schuldvrije en schuldbelaste toepassingen.

“De kloof tussen de bovenste en onderste 25 procent van organisaties is fascinerend." zei Wysopal. "De resultaten roepen de vraag op welke factoren verantwoordelijk zijn voor de duidelijke verschillen in hoe organisaties beveiligingsschuld beheren en wat teams kunnen doen om het aan te pakken."

Veracode’s onderzoek identificeert vijf belangrijke maatstaven die wijzen op de maturiteit van beveiliging en het vermogen voorspellen van een organisatie om op systematische wijze risico's te beperken: prevalentie van fouten, herstelcapaciteit, herstelsnelheid, prevalentie van schulden, en open-source schuld. Het verslag licht het belang van elke maatstaf toe en maakt de parameters bekend die bepalen of een organisatie de leiding neemt of achterblijft.

• Prevalentie van fouten: Leidingnemende organisaties hebben fouten in minder dan 43% van de toepassingen, terwijl achterblijvende organisaties de 86% overschrijden.
• Herstelcapaciteit: Leiders lossen maandelijks meer dan 10 procent van de fouten op, terwijl achterblijvers minder dan 1 procent aanpakken.
• Herstelsnelheid: De beste presteerders herstellen de helft van de fouten in vijf weken; minder presterende organisaties doen hier meer dan een jaar over.
• Prevalentie van beveiligingsschuld: Minder dan 17 procent van de toepassingen in leidingnemende organisaties hebben beveiligingsschuld, in vergelijking met meer dan 67% bij achterblijvers.
• Open-source schuld: Leidingnemende organisaties houden de open-source kritieke schuld onder 15 procent, terwijl 100 procent van de kritieke schuld open-source is bij achterblijvende organisaties.

Wysopal zei “Het onderzoek biedt een nuttig kader om organisaties te helpen de maturiteit van hun beveiliging te beoordelen. Dit stelt ze in staat om inzicht te krijgen in specifieke factoren die bijdragen aan de beveiligingsschuld, het belang van elke maatstaf te peilen en hun eigen prestaties te benchmarken ten opzichte van soortgelijke organisaties. We bieden gedetailleerde aanbevelingen van onze deskundigen en leidingnemende organisaties over hoe te verbeteren."

De cyberwetgeving stimuleert positieve gedragingen en bevordert de toepassingsbeveiliging

Aan de positieve kant bleek uit Veracode's onderzoek dat het percentage toepassingen dat slaagt voor het Open Worldwide Application Security Project (OWASP) Top 10 is toegenomen met 63 procent in de voorbije vijf jaar, en meer dan verdubbeld is in 15 jaar. Nieuwe wetgeving inzake cyberbeveiliging in 2024, zoals het besluit van de U.S. Securities and Exchange Commission (SEC) en E.U. Cyber Resilience Act hebben bijgedragen aan deze trend omdat softwareleveranciers meer gedisciplineerd zijn op het vlak van risicobeheer.

Een nieuwe kijk op de maturiteit van beveiliging

Veracode’s nieuwe kijk op softwarebeveiliging benadrukt de noodzaak voor bedrijven om een strategische, op context gebaseerde benadering te hanteren om de meest dringende en exploiteerbare risico's te beheren. Het verslag beveelt twee belangrijke aandachtsgebieden voor organisaties aan. Ten eerste moeten organisaties hun zichtbaarheid en integratie in de volledige levenscyclus van softwareontwikkeling verbeteren met gebruik van automatisering en feedbackloops om nieuwe beveiligingsfouten te voorkomen. Ten tweede moeten ze voorrang geven aan correlerende en omkaderende beveiligingsbevindingen in een enkele weergave waardoor ze op efficiënte wijze hun beveiligingsachterstand kunnen aanpakken en de hoogste risico's met de minst mogelijke moeite kunnen verminderen.

Wysopal voegde toe, “Hulpmiddelen zoals Application Security Posture Management stellen beveiligingsprofessionals en ontwikkelingsteams in staat om te prioriteren en geïnformeerde beslissingen te nemen door te identificeren wat exploiteerbaar, haalbaar en dringend is."

Terwijl organisaties navigeren in een steeds complexer landschap van dreigingen is voorrang geven aan de maturiteit van beveiliging essentieel. Veracode's onderzoek biedt een leidraad voor organisaties om hun beveiligingshouding te benchmarken en verbeteren. Door beveiligingsschuld aan te pakken en de beste hulpmiddelen en praktijken aan te wenden, kunnen bedrijven hun veerkracht verbeteren, risico's verminderen, en voldoen aan de evoluerende wetgeving inzake cyberbeveiliging.

Het volledige rapport 'State of Software Security' voor 2025 is beschikbaar om te downloaden op de website van Veracode. Een blog die de belangrijkste bevindingen van het rapport samenvat is ook beschikbaar om te lezen.

Over het State of Software Security-rapport

De toestand van softwarebeveiliging van Veracode voor 2025 is de 15^e editie van het verslag. Het analyseerde gegevens van bedrijven van elke omvang, commerciële softwareleveranciers, softwareuitbesteders en open-source projecten. Het verslag bevat bevindingen over toepassingen die werden onderworpen aan statische analyse, dynamische analyse, analyse van softwaresamenstelling, en/of testen van handmatige penetratie via Veracode's cloudplatform. De gegevens komen met name van:

• 1,3 miljoen unieke toepassingen met 126,4 miljoen ruwe gegevens
• 107,4 miljoen bevindingen die via SAST-scans werden geïdentificeerd
• 3,9 miljoen bevindingen die via DAST-scans werden geïdentificeerd
• 15 miljoen bevindingen die via de analyse van softwaresamenstelling werden geïdentificeerd

Over Veracode

Veracode is een wereldleider op het gebied van het beheer van toepassingsrisico's voor het AI-tijdperk. Het Veracode-platform, aangedreven door biljoenen lijnen codescans en een eigen AI-ondersteunende herstelengine, biedt adaptieve softwarebeveiliging en wordt vertrouwd door organisaties overal ter wereld om beveiligde software te bouwen en behouden, van de creatie van code tot implementatie via de cloud. Duizenden van 's werelds toonaangevende ontwikkelings- en beveiligingsteams gebruiken heel de dag door Veracode om nauwkeurige, praktische zichtbaarheid te krijgen in exploiteerbare risico's, herstel van fouten in realtime te krijgen en hun beveiligingsschuld op grote schaal te verminderen. Veracode is een met meerdere prijzen bekroond bedrijf dat mogelijkheden biedt om de volledige levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode-herstel, statische analyse, dynamische analyse, analyse van softwaresamenstelling, beveiliging van containers, beheer van softwarebeveiligingshouding, detectie van kwaadaardige pakketten en testen van penetratie.

Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.

Copyright © 2025 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en kan in bepaalde andere rechtsgebieden mogelijk geregistreerd zijn. Alle andere namen, merken of logo's van producten horen toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden vermeld, zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.