Software Improvement Group (SIG), het onafhankelijke wereldwijd leidende instituut in het analyseren van software, heeft het Software Benchmark Report gepubliceerd. Met behulp van 's werelds grootste software metrics database, die metingen bevat van 70 miljard regels code, beoordeelt SIG jaarlijks de kwaliteit en veiligheid van software en de impact daarvan op bedrijven wereldwijd.
Uit het rapport komen twee belangrijke punten van zorg naar voren:
Software Supply Chains zijn een tikkende tijdbom: Er is een sterke correlatie tussen goede bouwkwaliteit en de kans op beveiligingsincidenten gevonden. Bij verouderde libraries van lagere bouwkwaliteit is de kans op opduikende beveiligingslekken twee keer zo groot. Organisaties moeten dringend de manier veranderen waarop ontwikkelteams open source libraries gebruiken en beheren.
Softwarebeveiliging kan niet alleen met tools worden opgelost: Door broncode eerder in het ontwikkelproces te beoordelen, worden zwakke plekken voorkomen en beveiligingsrisico's sneller beperkt. Tools zijn waardevol voor het beheer van softwarebeveiliging, maar zijn slechts een deel van de oplossing omdat ze fundamentele blinde vlekken hebben. Processen en mensen zijn van cruciaal belang voor een succesvolle strategie voor softwarebeveiliging.
"Organisaties moeten dringend iets doen aan de manier waarop ze omgaan met softwareontwikkeling. De huidige open-source managementpraktijken laten kwetsbaarheden onopgelost, waardoor de kans dat organisaties worden geschonden ernstig toeneemt", aldus Luc Brandts, Group CEO van SIG Holding. "Het is belangrijk dat mensen begrijpen welke risico's ze nemen door gebruik te maken van slecht gebouwde libraries. Onze mogelijkheden bij SIG en Sigridâ, ons software assurance platform, helpen klanten deze bedreigingen te vermijden en praktijken te implementeren die de kwaliteit en veiligheid van hun applicaties verbeteren."
Magiel Bruntink, Head of Research bij SIG, merkt op: "we hebben gekeken naar gegevens van meer dan 13 jaar softwaremetingen, 7.500 systemen en 800.000 applicatie-inspecties. We combineren deze gegevens met state-of-the-art onderzoeksprojecten over de beoordeling van beveiligingscode, precieze call chain-technologie en nieuwe benchmarks, om klanten te helpen met shift-left op het gebied van beveiliging en software supply chain-kwesties."
Om te kunnen beoordelen moet u ingelogd zijn: