Banker bäst på att hantera brister i webbapplikationer

En ny undersökning visar att banker och andra finansbolag har lägst andel säkerhetsbrister i sina webbapplikationer.

Banker bäst på att hantera brister i webbapplikationer 1Finansbranschen är också bäst i klassen på att korrigera felen som uppstår. Undersökningen bygger på analyser av 130 000 applikationer i 2 500 bolag som utförts av Veracode, världens största oberoende leverantör av AST-lösningar (Application Security Testing).

Resultatet av analysen har publicerats i rapporten State of Software Security Volume 11 (SoSS11). Den visar att finansbranschen har den högsta andelen åtgärdade säkerhetsbrister (75%) av de sex branscher som särskådats. Trots det visar undersökningen att det krävs drygt sex månader för finansbolagen att komma tillrätta med hälften av de fel som uppdagas. Det är något långsammare än övriga branscher som ingår i undersökningen. Enligt SoSS11 har finansbranschen också lägst andel säkerhetsbrister.

– Utvecklare inom finansbranschen är ofta begränsade till it-miljön de arbetar i. Där tenderar applikationer att vara äldre, ha en medelhög densitet och följer inte en konsekvent praxis för DevSecOp till skillnad från andra branscher. Med hjälp av utbildning och att följa ”best practice” kan de snabbt åtgärda problemen och börja minska säkerhetsskulden, säger Chris Wysopal, teknik- och produktutvecklingschef på Veracode.

I arbetet med studien fann Veracode övertygande bevis för att vissa beteenden i samband med DevSecOps ger betydande fördelar för säkerheten i mjukvaran. Av resultaten att döma är finansbolagen:

  • Ledande när det gäller att åtgärda briser i programvara med öppen källkod och takten i att komma tillrätta med problemen som uppstår är hög.
  • Ligger i mittenfåran när det kommer till frekvensen i säkerhetstesterna och använder sig sannolikt inte av dynamisk analysteknik (DAST) för att komma upptäcka brister.
  • Överträffar branschsnittet i hanteringen av problem relaterade till kryptografi, inmatningsvalidering, Cross-Site Scripting (XSS) och referenshantering i syfte att skydda användare av finansiella webbapplikationer.