Lindgaard verwijst naar Secunia’s Vulnerability Review 2015. Daarin constateert het dat vorig jaar wereldwijd 15.435 kwetsbaarheden in software zijn ontdekt. Dat impliceert een stijging met 18 procent ten opzichte van 2013. Het aantal applicaties dat lekken bleek te vertonen, steeg met 22 procent naar 3870; die applicaties zijn door 500 verschillende leveranciers gebouwd.

Hoewel alle lekken een beveiligingsrisico inhouden, zijn ze niet allemaal even ernstig. Het aandeel hoogst kritieke lekken bedroeg 11 procent – toch nog altijd zo’n 1700. Het aantal ‘zero-day’-lekken – lekken die bekend worden omdat ze al misbruikt worden zonder dat er een patch beschikbaar is – nam toe van 14 in 2013 naar 25 in 2014. 80 procent daarvan zat in de 25 meest gebruikte producten.

De meeste softwareleveranciers zitten er anno 2014 wel bovenop. In 83 procent van de gevallen had de leverancier een patch beschikbaar op de dag dat de kwetsbare plek publiekelijk bekend werd; dat is aanmerkelijk beter dan de 50 procent die in 2009 meteen gepatcht was. Het percentage lekken dat niet binnen een maand gepatcht wordt, blijft echter gelijk, met 16 procent.

De belangrijkste conclusie die uit deze cijfers is te trekken is volgens Secunia, dat het veilig houden van de gebruikte software een enorme uitdaging is die men niet moet onderschatten. Een uitdaging die bovendien gecompliceerd wordt door de praktijk van het bundelen: leveranciers leveren regelmatig componenten van anderen mee, zoals opensourceapplicaties en -libraries. Dat verhoogt de kans dat hun klant over het hoofd ziet dat een inmiddels lek gebleken stuk software op hun systemen draait. Secunia waarschuwt dat men daarin niet blind kan varen op de leveranciers. “Er blijkt bijvoorbeeld geen patroon te zitten tussen de tijd die verstreek tussen het bekend worden van de OpenSSL-kwetsbaarheden en het tijdstip waarop derden hun klanten ervan op de hoogte stelden dat hun product daardoor kwetsbaar was. Dat betekent dat organisaties er niet van op aan kunnen dat ze kunnen voorspellen welke leveranciers betrouwbaar zijn en snel reageren bij kwetsbaarheden in meegeleverde opensourcecomponenten”, zegt Lindgaard.