Halloween ist in der Softwarebranche das ganze Jahr

Halloween steht vor der Tür und es gibt viel Anlass, sich zu gruseln. Denn der aktuelle State of Software Security Report [1] zeigt, dass die meisten Anwendungen noch immer viele Risiken beinhalten. Veracode hat für Sie die gruseligsten Schwachstellen in einer Halloween-Infografik zusammengestellt.

infografik-veracode_scariest-vulnerabilities-en

 

 

Die Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit (»State of Software Security«/SoSS) hervor, den Veracode zum siebten Mal zusammengestellt hat. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden. Insgesamt zeigt sich, dass der zunehmende Fokus auf digitale Risiken auf der Anwendungsebene und die Integration von Sicherheitsaspekten in DevOps-Prozesse (DevSecOps) zur Senkung des Risikos beitragen können, ohne die Software-Entwicklung zu verlangsamen.

97 Prozent der Java-Anwendungen enthalten unsichere Komponenten

Die Analyse von Veracode ergab, dass anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. So wirkte sich eine einzige populäre Komponente mit einer kritischen Sicherheitslücke auf mehr als 80.000 andere Software-Komponenten aus, die dann wiederum in der Entwicklung von Millionen Software-Programmen zum Einsatz kamen. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.

»Die weit verbreitete Nutzung von Open-Source-Komponenten in der Software-Entwicklung ist verantwortlich für unkontrollierbare systemische Risiken in Unternehmen und Branchen«, erläutert Julian Totzek-Hallhuber, Solutions Architect bei Veracode. »Heute kann sich ein Cyberkrimineller auf eine einzige Schwachstelle in einer Komponente konzentrieren, um Millionen von Anwendungen zu schädigen. Alle Branchen und Software sind in hohem Maß von Anwendungen abhängig. Diese Leichtigkeit, mit der Millionen von Anwendungen verletzt werden können, kann daher unsere digitale Infrastruktur und Wirtschaft nachhaltig schädigen.«

60 Prozent der Anwendungen verfehlen Sicherheitsrichtlinien beim ersten Scan

Der Bericht von Veracode hebt weitere Herausforderungen in der Software-Entwicklung hervor. Zum Beispiel konnten 60 Prozent der Anwendungen beim ersten Scan grundlegende Sicherheitsanforderungen nicht erfüllen. Allerdings stellt der Bericht fest, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen. Darüber hinaus können Best Practices wie Remediation Coaching und eLearning die Fix Rates um das bis zu Sechsfache verbessern. Und Entwickler, die ihre Anwendungen in einer Developer Sandbox getestet haben, verbessern die richtlinienbasierten Fix Rates um etwa das Zweifache.

DevOps etablieren sich

»Kontinuierliche Entwicklungs- und Implementierungsmodelle, wie in den DevOps-Umgebungen, können mit regelmäßigen Anwendungstests zur sicheren Entwicklung beitragen«, erläutert Nabil Bousselham, Solutions Architect bei Veracode. »Unsere Plattform-Daten zeigen, dass immer mehr Unternehmen Anwendungen während der Entwicklung mehrfach testen. Die durchschnittliche Anzahl der Sicherheitstests pro App lag bei sieben und einige Anwendungen wurden im Zeitraum von 18 Monaten 700-800 Mal gescannt. Diese Ergebnisse ermutigen uns, weil sie zeigen, dass Unternehmen das Thema Sicherheit tiefer in ihre Software-Entwicklungsprozesse einbetten.«

Der jährliche SoSS-Report von Veracode untersucht auch die Prävalenz von anfälligen Open-Source-Komponenten in Anwendungen verglichen mit Branchentrends zum Beheben und Erkennen von Schwachstellen. Thema sind außerdem Sicherheits-Trends, wie die Zunahme von DevOps-Umgebungen, die sich in mehrmaligen täglichen Scans von Apps und durchschnittlich sieben Sicherheitstests pro App niederschlagen.

[1] Der vollständige Bericht ist verfügbar unter: https://www.veracode.com/soss.


Gruselgeschichten: Infografik zu den größten IT-Sicherheitsrisiken

Sicherheitsrisiken für DAX-100-Unternehmen durch Cyberangriffe

Veröffentlichte NSA-Hackersoftware gefährdet (deutsche) Industrie

Qualitätssicherungskonzept für mobile Apps

Anwendungsentwicklung beschleunigen und Qualität erhöhen

Bei der Softwareentwicklung auf DevOps setzen – Chancen sind oft noch unerkannt

Kaum Regelwerke zur Sicherung der Qualität mobiler Anwendungen

Mehrheit der Deutschen setzt sich im Urlaub erhöhten IT-Sicherheitsrisiken aus

Sicherheitsrisiken von Online-Dating-Apps für Unternehmen

Studie macht deutlich: Smartphone unter den drei größten Sicherheitsrisiken für Unternehmen

Neue Sicherheitsrisiken: Sechs Bereiche mit den größten Problemen

Weitere Artikel zu

Schreiben Sie einen Kommentar