programmeren

Onveilig programmeren lijkt niet uit te roeien

© Shutterstock
3 maart 2010
Bijna 60 procent van de software bevat bij eerste oplevering beveiligingslekken. Dat constateert Veracode, dat risicotesten als dienst op de markt brengt. Commerciële software deed het daarbij slechter dan open source en intern ontwikkelde software.

Veracode bracht voor zijn rapport de gegevens bij elkaar van 1591 applicaties. 60 procent daarvan was intern ontwikkeld, 30 procent betrof software van commercieel opererende leveranciers, 8 procent was open source, en 2 procent was extern in opdracht ontwikkeld.

Gemiddeld was de kwaliteit van de beveiliging in de programmatuur in 58 procent van de gevallen beneden de maat, bleek op basis van Veracodes risico-inschatting; voor het vaststellen daarvan gebruikt het een combinatie van statische en dynamische tests en manuele inspecties van de werking van de programmatuur. Commerciële software was bij eerste oplevering slechts in 29 procent van de gevallen van acceptabele kwaliteit. De intern ontwikkelde software was het beste, met 49 procent die meteen al de test doorstond. Bij open-sourcesoftware en de extern in opdracht ontwikkelde applicaties lag dit percentage op 41 en 43.

Bij het verhelpen van de geconstateerde gebreken was de open-sourcegemeenschap het meest effectief. Gemiddeld duurde het bij de open-sourceprogramma’s 36 dagen om de gebreken te verhelpen, en kostte dat in slechts 11 procent van de gevallen meer dan een poging. De commerciële bedrijven hadden er gemiddeld 82 dagen voor nodig; in 26 procent van de gevallen was ook de tweede versie niet foutloos. Bij intern ontwikkelde software lagen deze grootheden op 48 dagen en 42 procent.

Overigens bevat intern ontwikkelde software bij eerste oplevering de minst ernstige lekken: 30 procent is ernstig of zeer ernstig. Voor commerciële software ligt dat percentage op 39, voor open-sourcesoftware op 59.

De gevonden kwetsbaarheden hangen heel vaak samen met de Top 25 programmeerfouten die SANS Insitute en Mitre publiceerden. Veracode testte de software tegen de 2009-variant van die lijst. Open source en commerciële software bevatten in 60 procent van de gevallen fouten die op die lijst staan. Intern ontwikkelde software zondigt daar in 70 procent van de gevallen tegen. In outsourcing-constructie ontwikkelde software zondigt in bijna alle gevallen tegen de meest gemaakte ernstige programmeerfouten. Veracode tekent daar wel bij aan dat het kleine aantal geteste, extern ontwikkelde applicaties tot voorzichtigheid noopt bij de interpretatie van de cijfers.

Ontwikkelaars hebben vooral vaak een blinde vlek voor constructies die Cross Site Scripting mogelijk maken. Dat geldt overigens duidelijk vaker voor open-sourceontwikkelaars en ontwikkelaars in gebruikersorganisaties dan voor ontwikkelaars van commerciële bedrijven. In sommige toepassingen vond Veracode wel 100 van dit type fouten. Veracode verbindt hieraan de conclusie, dat het kennelijk schort aan het veiligheidsbewustzijn bij softwareontwikkelaars en aan de aandacht in opleidingen voor algemeen bekende kwetsbare constructies en mogelijkheden om deze te vermijden.

Het volledige rapport is, na registratie, te downloaden bij Veracode.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.