Stan bezpieczeństwa oprogramowania w 2025 r.

Najnowszy raport 2025 State of Software Security Report autorstwa Veracode to nie tylko kolejne podsumowanie branżowe. To oparta na danych weryfikacja rzeczywistości dla każdej organizacji, która opracowuje, kupuje lub zarządza oprogramowaniem. Dzięki wglądowi w ponad 1,8 miliona skanów w 500 000 aplikacji, badanie to ujawnia, w jaki sposób wady, zadłużenie techniczne i luki w dojrzałości nadal kształtują krajobraz ryzyka w rozwoju oprogramowania.

Najważniejsze informacje wyróżniające raport

✔️ 80% aplikacji ma co najmniej jedną lukę w zabezpieczeniach

✔️ 56% zawiera luki o wysokim stopniu szkodliwości

✔️ Średni czas naprawy luk wzrósł o 47% w ciągu ostatnich 5 lat (ze 171 do 252 dni)

✔️ 74% organizacji ma dług bezpieczeństwa, a 50% z nich ma dług krytyczny

✔️ 70% krytycznego długu bezpieczeństwa pochodzi z kodu stron trzecich, zwłaszcza w bibliotekach open source

✔️ Usuwanie błędów w kodzie stron trzecich trwa ~50% dłużej niż w kodzie własnym

✔️ Ścieżka exploitów się zmienia: 70% krytycznego długu znajduje się w zależnościach, a nie w kodzie wewnętrznym.

Nie jest to dokument przeznaczony wyłącznie dla programistów lub specjalistów AppSec. Powinna to być lektura obowiązkowa dla:

✔️ menedżerów produktu, którzy są odpowiedzialni za bezpieczeństwo tego, co jest dostarczane

✔️ CISO, którzy muszą zarządzać ryzykiem w coraz bardziej złożonych ekosystemach oprogramowania

✔️ klientów, którzy polegają na dostawcach oprogramowania w zakresie dostarczania bezpiecznych produktów

Każda organizacja, która tworzy oprogramowanie i każdy klient, który korzysta z oprogramowania innych firm, musi wchłonąć ten raport. Nie wystarczy szybko tworzyć oprogramowanie - trzeba je tworzyć bezpiecznie.

Jeśli polegasz na zewnętrznych dostawcach lub dostawcach SaaS, nadszedł czas, aby zaktualizować swoje programy TPRM.

✔️ Wymagaj dowodów na stosowanie bezpiecznych praktyk tworzenia oprogramowania

✔️ Poproś dostawców, aby zademonstrowali, w jaki sposób naprawiają błędy, zarządzają ryzykiem łańcucha dostaw i śledzą dług bezpieczeństwa

✔️ Uwzględnij wymagania dotyczące bezpiecznego SDLC w procesie zamówień

Chociaż można śmiało powiedzieć, że wiele organizacji wdraża inne mechanizmy kontrolne (WAF, segmentacja), które zmniejszają szansę na natychmiastowe wykorzystanie, nie eliminuje to potrzeby poważnego traktowania długu bezpieczeństwa aplikacji. Obrona dogłębna ma znaczenie. Nie można załatać każdej warstwy zaporami ogniowymi.

Dług bezpieczeństwa jest technicznym odpowiednikiem długu finansowego. Zignoruj go, a będzie rósł. Zajmuj się nim systematycznie, a zmniejszysz swoją ekspozycję. Niezależnie od tego, czy budujesz, czy kupujesz, musisz wymagać od siebie i swoich partnerów większej dojrzałości w zakresie bezpieczeństwa oprogramowania.

Link

2025 State of Software Security

The latest 2025 State of Software Security Report by Veracode is not just another industry summary. It’s a data-driven reality check for any organization that develops, procures, or manages software. With insights from over 1.8 million scans across 500,000 applications, this study reveals how flaws, technical debt, and maturity gaps continue to shape the risk landscape in software development.

Report Highlights That Stand Out:

✔️ 80% of applications have at least one security flaw

✔️ 56% contain high-severity flaws

✔️ Average time to fix flaws has increased 47% over the last 5 years (from 171 to 252 days)

✔️ 74% of organizations have security debt, and 50% of those have critical debt

✔️ 70% of critical security debt comes from third-party code, especially in open-source libraries

✔️ Flaw remediation in third-party code takes ~50% longer than in first-party code

✔️ The exploit path is shifting: 70% of critical debt resides in dependencies, not internal code.

This is not just a document for software developers or AppSec professionals. It should be required reading for:

✔️ Product managers, who are responsible for the security of what’s delivered

✔️ CISOs, who must manage risk across increasingly complex software ecosystems

✔️ Customers, who rely on software vendors to provide secure products

Every organization that develops software and every customer that uses third-party software needs to absorb this report. It’s not enough to build software quickly—you must build it securely.

If you rely on external vendors or SaaS providers, it’s time to update your TPRM programs.

✔️ Require evidence of secure software development practices

✔️ Ask vendors to demonstrate how they remediate flaws, manage supply chain risk, and track security debt

✔️ Include secure SDLC requirements in your procurement process

While it’s fair to say many organizations implement other controls (WAFs, segmentation) that reduce the chance of immediate exploitation, this doesn’t eliminate the need to treat application security debt seriously. Defense in depth matters. You can’t patch every layer with firewalls.

Security debt is the technical equivalent of financial debt. Ignore it, and it grows. Address it systematically, and you reduce your exposure. Whether you're building or buying, you must demand better software security maturity from yourself—and your partners.

Link

Autor: Sebastian Burgemejster