Report: Open-Source-Komponenten erhöhen Risiken drastisch

Die Codes werden zwar von Jahr zu Jahr besser, aber die Risiken beim Einsatz von Open-Source- und Third-Party-Komponenten steigen dennoch rasant.

foto-cc0-pixabay-alles-open-sourceDie Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit (»State of Software Security«/SoSS) hervor, den Veracode zum siebten Mal zusammengestellt hat [1]. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden. Insgesamt zeigt sich, dass der zunehmende Fokus auf digitale Risiken auf der Anwendungsebene und die Integration von Sicherheitsaspekten in DevOps-Prozesse (DevSecOps) zur Senkung des Risikos beitragen können, ohne die Software-Entwicklung zu verlangsamen.

97 Prozent der Java-Anwendungen enthalten unsichere Komponenten

Die Analyse von Veracode ergab, dass anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. So wirkte sich eine einzige populäre Komponente mit einer kritischen Sicherheitslücke auf mehr als 80.000 andere Software-Komponenten aus, die dann wiederum in der Entwicklung von Millionen Software-Programmen zum Einsatz kamen. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.

»Die weit verbreitete Nutzung von Open-Source-Komponenten in der Software-Entwicklung ist verantwortlich für unkontrollierbare systemische Risiken in Unternehmen und Branchen«, erläutert Julian Totzek-Hallhuber, Solutions Architect bei Veracode. »Heute kann sich ein Cyberkrimineller auf eine einzige Schwachstelle in einer Komponente konzentrieren, um Millionen von Anwendungen zu schädigen. Alle Branchen und Software sind in hohem Maß von Anwendungen abhängig. Diese Leichtigkeit, mit der Millionen von Anwendungen verletzt werden können, kann daher unsere digitale Infrastruktur und Wirtschaft nachhaltig schädigen.«

60 Prozent der Anwendungen verfehlen Sicherheitsrichtlinien beim ersten Scan

Der Bericht von Veracode hebt weitere Herausforderungen in der Software-Entwicklung hervor. Zum Beispiel konnten 60 Prozent der Anwendungen beim ersten Scan grundlegende Sicherheitsanforderungen nicht erfüllen. Allerdings stellt der Bericht fest, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen. Darüber hinaus können Best Practices wie Remediation Coaching und E-Learning die Fix Rates um das bis zu Sechsfache verbessern. Und Entwickler, die ihre Anwendungen in einer Developer Sandbox getestet haben, verbessern die richtlinienbasierten Fix Rates um etwa das Zweifache.

grafik-veracode-top-10-schwachstellen-002

Diese zehn Arten von Schwachstellen sind derzeit am weitesten verbreitet.

DevOps etablieren sich

»Kontinuierliche Entwicklungs- und Implementierungsmodelle, wie in den DevOps-Umgebungen, können mit regelmäßigen Anwendungstests zur sicheren Entwicklung beitragen«, erläutert Nabil Bousselham, Solutions Architect bei Veracode. »Unsere Plattform-Daten zeigen, dass immer mehr Unternehmen Anwendungen während der Entwicklung mehrfach testen. Die durchschnittliche Anzahl der Sicherheitstests pro App lag bei sieben und einige Anwendungen wurden im Zeitraum von 18 Monaten 700 bis 800 Mal gescannt. Diese Ergebnisse ermutigen uns, weil sie zeigen, dass Unternehmen das Thema Sicherheit tiefer in ihre Software-Entwicklungsprozesse einbetten.«

[1] Der jährliche SoSS-Report von Veracode untersucht auch die Prävalenz von anfälligen Open-Source-Komponenten in Anwendungen verglichen mit Branchentrends zum Beheben und Erkennen von Schwachstellen. Thema sind außerdem Sicherheits-Trends, wie die Zunahme von DevOps-Umgebungen, die sich in mehrmaligen täglichen Scans von Apps und durchschnittlich sieben Sicherheitstests pro App niederschlagen.

Der vollständige Bericht ist nach Registrierung verfügbar unter: https://www.veracode.com/soss


IT-Infrastruktur: Cloud und Open Source liegen vorn

Open Source als herausragende Architektur und Innovationstreiber

Open Source als Schlüsselelement erfolgreicher DevOps-Strategien

Open Source: Sicherheit durch Transparenz

Gefährliche Trittbrettfahrer: Missbrauch von Open-Source-Testsoftware

Die fünf größten Vorteile eines Open-Source-CMS

Open-Source-Software richtig nutzen

Trend zu mehr Open-Source-basierten Datenbanken

Digital Performance Management: Aktuelle Anforderungen durch DevOps lösen

DevOps zahlt sich aus – mehr als erwartet

Die Teile des DevOps-Puzzles

Best Practices, die helfen, die Anforderungen der GDPR zu erfüllen

Schreiben Sie einen Kommentar