CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Syv ud af ti webbaserede apps har sikkerhedsfejl

70 procent af de webbaserede applikationer, der kan knyttes direkte til open source-software, har mindst én sikkerhedsfejl, viser en ny rapport fra Veracode.

7. oktober 2020 kl. 12.30

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Næsten alle moderne webapplikationer er opbygget med brug af open source-software, hvor programmets kildekode er åben og dermed kan ændres af brugeren. Brugen af open source-software har mange fordele, men er også risikabelt viser en ny it-sikkerhedsrapport fra verdens førende, uafhængige app security-leverandør, Veracode.

I arbejdet med rapporten ’State of Software Security (SoSS) Open Source Edition’ har Veracode analyseret 85.000 webbaserede apps, hvor det viste sig, at 70 procent havde mindst én form for sikkerhedsbrist. Fejlbehæftede filbiblioteker ender ofte indirekte i koden, og næsten halvdelen af dem, der bruges i apps (47 procent), bliver trukket direkte ind i koden fra det første filbibliotek – og ikke af udvikleren.

”Det er stort set umuligt for programmører at udvikle webbaserede apps uden brug af open source-software. Men desværre har open source-software ofte overraskende mange fejl. Det handler derfor om at identificere, vurdere og udbedre hver enkelt fejl, når det påkræves,” siger Hans Bak, salgsdirektør for Norden og Benelux hos Veracode.

Tre udbredte sikkerhedsbrister

Veracodes undersøgelse viser, at det mest almindelige sikkerhedshul er cross-site scripting (XSS) – en sårbarhed på et website, der giver en angriber mulighed for at afvikle programkode på vegne af en anden bruger uden validering først. Faktisk identificerede Veracode XSS i næsten en tredjedel (30 procent) af de analyserede open source-filbiblioteker.

Den næstmest udbredte brist er usikker deserialisering, hvor man konverterer fra et format tilbage til den oprindelige datastruktur, som opstår i knap en fjerdedel (23,5 procent) af de webbaserede apps. Dernæst kommer Broken Access Control, det vil sige adgang til en uautoriseret funktionalitet eller data, hvilket er gældende i en femtedel af tilfældene (20,3 procent).

Sikkerhedsopdateringer er nødvendige
Der er dog håb forude, når det kommer til at udpege disse sårbare områder. I undersøgelsen viser Veracode nemlig, at langt størstedelen (75 procent) af sikkerhedshullerne kan rettes ved hjælp af forholdsvis enkle sikkerhedsopdateringer.

”De fleste rettelser er relativt enkle. Udviklere producerer jo store mængder kode, men hvis de er opmærksomme på og anvender rettelser og sikkerhedsopdateringer korrekt, kan risikoen for sikkerhedsbrist forholdsvis enkelt reduceres,” siger Hans Bak fra Veracode.




Navnenyt fra it-danmarkVis alle »
Lucas Spangholm Nielsen
Lucas Spangholm Nielsen
LeeAnn Quynh Do
LeeAnn Quynh Do
Joakim Baik
Joakim Baik
Nicklas Molving
Nicklas Molving

Jan Hansen
Jan Hansen
Allan Møller Skydt
Allan Møller Skydt
Magdalena Kalin
Magdalena Kalin
Palle Stubberup Ebeling
Palle Stubberup Ebeling


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere

Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere

Cyber Security Summit 2024

På Cyber Security Summit får du indsigt i det aktuelle trusselslandskab, overblikket over de nyeste værktøjer og trends indenfor sikkerhedsløsninger, indsigt i de relevante rammeværktøjer og krav samt de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

27. august 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Tue Lystrup
Tue Lystrup
Claus Westergaard Kraft
Claus Westergaard Kraft
Peter Juul Grostøl
Peter Juul Grostøl og Hans Jayatissa
Poul Kjeldgaard
Poul Kjeldgaard
Mogens Nørgaard
Mogens Nørgaard
Brian Andersen
Brian Andersen
Mark Thundercliffe
Mark Thundercliffe
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaards vikar: Når cybersikkerhed bliver til statens skjulte magtapparat - kan Danmark så reelt modstå hybridangreb?
Læs indlæg
Artikel teaser billede

Tue Lystrup

Lad være med at være religiøs, når det kommer til cloud’en: Du får langt mere ud af skyen, hvis du er platform-agnostisk

Artikel teaser billede

Claus Westergaard Kraft

Mens vi venter på NIS2, planlægger hackerne deres næste angreb

Artikel teaser billede

Peter Juul Grostøl og Hans Jayatissa

Opfordring til digital taskforce: Vi skal rammesætte AI’s indbyggede svagheder

Artikel teaser billede

Poul Kjeldgaard

Nu går generativ AI fra leg til forretning

Mest læste klummer og blogs
Lad være med at være religiøs, når det kommer til cloud’en: Du får langt mere ud af skyen, hvis du er platform-agnostisk
Klumme: Alt for få overvejer at placere applikationer og data i forskellige clouds, fremfor at have alt hos én leverandør. Det er ærgerligt, for der er masser af gevinst at hente ved at vælge den rette cloud-platform til det rette formål.
Af: Tue Lystrup
Nørgaard: Selv hvis russerne allierer sig med iranerne vil de aldrig kunne overraske de danske togpassagerer
Klumme: Jeg har ikke før gidet interessere mig for CRA, der har været i gang i Bruxelles siden søsætningen i 2022, og som derfor vil blive opdaget af Centeret for Cybersikkerhed i 2027 og lanceret som et direkte afskrevet lovforslag i 2029, med en høringsfrist på 42 minutter, hvorefter det vil blive vedtaget i 2030 (det er bare en joke - det sker nok allerede i 2029).
Af: Mogens Nørgaard
Mens vi venter på NIS2, planlægger hackerne deres næste angreb
Klumme: Ny udskydelse af NIS2-direktivet må ikke blive en sovepude for danske virksomheder. Trusselsbilledet er alarmerende, og det er vigtigt at handle nu. Hackerne sætter ikke farten ned. Tværtimod. Her er nogle anbefalinger til, hvordan din virksomhed kan forberede sig og udnytte den ekstra tid mest effektivt.
Af: Claus Westergaard Kraft
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaards vikar: Når cybersikkerhed bliver til statens skjulte magtapparat - kan Danmark så reelt modstå hybridangreb?
opinion Mogens Nørgaard
Nørgaard: Selv hvis russerne allierer sig med iranerne vil de aldrig kunne overraske de danske togpassagerer
Læs indlæg

Premium
Teaser billede
Danske hjemmesider høster data i stor stil: Disse 68 hjemmesider har fået straks-påbud fra Digitaliseringsstyrelsen
Læs mere »
Alvorlig sårbarhed hos SAP giver hackere adgang til kundernes systemer: "Angriberen kan kompromittere systemet fuldt ud"
Netcompany-aktien buldrer i vejret efter regnskab: Derfor går det så godt ifølge André Rogaczewski
Patch nu: Microsoft lapper 90 sikkerhedshuller og seks aktivt udnyttede sårbarheder
Se alle »
Computerworld
Teaser billede
Prøvekørt: Den smukke Polestar 4 er en spøjs elbil man let bliver forelsket i
Læs mere »
Apple på vej med sin mindste computer nogensinde
Efter 11 år er det slut for Google Chromecast: Snart sidste udkald for at sikre sig den billige enhed
Google sigter højt med sin nye streaming-satsning: Mød Google TV Streamer
Se alle »
CIO
Teaser billede
It-leverandør står over for millionbøde efter ransomware-angreb: Lykkedes ikke med at beskytte vigtige oplysninger
Læs mere »
IBM’s mainframe-forretning har fået comeback
Virksomheder står over for store it-omkostninger: Mere end hver 10. pc kan ikke køre Windows 11
Patch nu: Microsoft lapper 90 sikkerhedshuller og seks aktivt udnyttede sårbarheder
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Sådan får du overblik og beskytter dine cloudapplikationer
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »