News | Trends 2023 | Trends Security | IT-Security

Die Automatisierung der Anwendungssicherheit befindet sich im Aufwind

Illustration Absmeier foto freepik

Der Bericht der Synopsys Software Integrity Group erläutert, wie Kunden, die auf Automatisierung setzen, ihre Sicherheitsprozesse über den gesamten Software-Lebenszyklus hinweg verbessern.

 

Synopsys hat am 5. Dezember 2023 den BSIMM14 veröffentlicht, die neueste Ausgabe des jährlich erscheinenden Berichts »Building Security In Maturity Models« (kurz BSIMM). Darin werden die Software-Sicherheitspraktiken von 130 Unternehmen analysiert, darunter einige der wichtigsten Firmen in den Bereichen Cloud, Finanzdienstleistungen, FinTech, ISV, Versicherungen, IoT, Gesundheitswesen und Technologie. Die Autoren des Berichts stellen fest, dass der Einsatz von automatisierten Sicherheitstechnologien rapide zugenommen hat. Das wiederum führt dazu, dass sich die »Shift Everywhere«-Philosophie, also das Durchführen von Sicherheitstests während des gesamten Lebenszyklus der Softwareentwicklung, bei immer mehr Unternehmen verbreitet.

 

Automatisierung setzt sich durch

Bei den diesjährigen Ergebnissen wird ein klarer Trend sichtbar: Unternehmen nutzen zunehmend die Vorteile von automatisierten Sicherheitstechnologien, um manuelle, von Fachleuten gesteuerte Sicherheitsaktivitäten zu ersetzen. Das ist Ziel ist es, Kosten zu senken und die Effektivität insgesamt zu verbessern.

Eine stärkere Automatisierung schafft erst die Voraussetzungen, die »Shift Everywhere«-Philosophie zu übernehmen. Hier sprechen die Zahlen eine deutliche Sprache: Automatisierte, ereignisgesteuerte Sicherheitstests haben in den letzten beiden Jahren um 200 % zugenommen. Aber es gibt noch weitere Ergebnisse, welche die Leistungsfähigkeit der Automatisierung belegen:

  • Bessere Möglichkeiten zur Überprüfung: Die Automatisierung hat in den letzten fünf Jahren zu einem Anstieg bei den obligatorischen Codeüberprüfungen um 68 % geführt.
  • Erschwinglicher Ansatz: Die aktuellen wirtschaftlichen Bedingungen haben dazu geführt, dass Firmen zunehmen auf teure, von Fachleuten durchgeführte Aktivitäten verzichten. Das sind solche, die nicht unbedingt einfach zu automatisieren sind, und das hat Auswirkungen: Zentralisierte Fehlerberichte und Angriffslisten wurden zu mehr als 17 % weniger genutzt.
  • Stärkere Nutzung von Toolchains: Unternehmen setzen auf moderne Toolchain-Technologie, mit der Sicherheitstests in der QA-Phase automatisiert werden können. Dies spiegelt sich in einem Anstieg von 10 % bei verschiedenen sicherheitsrelevanten Aktivitäten.

 

Jason Schmitt, General Manager der Synopsys Software Integrity Group, kommentiert: »Jedes der teilnehmenden Unternehmen hat sich dafür entschieden, zumindest eine Reihe von Sicherheitsfunktionen zu automatisieren. Das mündet direkt in bessere Praktiken. Firmen erfahren aus erster Hand, dass Sicherheitsprogramme effektiver und kostengünstiger ablaufen, wenn man menschliche Fehler eliminiert und auf konsolidierte, integrierte Sicherheitstools setzt.

Das ist eine überzeugende Kombination. Angesichts einer stetig wachsenden Zahl von Cyberangriffen aus allen Richtungen, hat sich die Automatisierung als unerlässlich erwiesen. Sie erlaubt es, die unzähligen Bedrohungen abzuwehren, die sich gezielt gegen Software richten, während Unternehmen in der unsicheren Wirtschaftslage mit weniger Mitteln mehr erreichen müssen.«

 

Reifegrad der Sicherheitskultur in Unternehmen steigt

Der BSIMM14 Bericht zeigt weiterhin, dass es Kunden gelungen ist, die Sicherheitskultur in ihren Unternehmen zu verbessern. Hier sind teils erhebliche Fortschritte zu verzeichnen. Zu den wichtigsten Ergebnissen zählen:

  • »Security Champions« machen den Unterschied: Unternehmen, die Security-Champions-Programme ins Leben gerufen haben, bei denen sich Entwickler, QA-Analysten oder (Software-)Architekten gezielt für mehr Sicherheit engagieren, erzielten im Durchschnitt eine um 25 % höhere BSIMM-Punktzahl als Firmen, die auf derartige Initiativen verzichtet haben.
  • Höhere Standardanforderungen bei Anbietern: Unternehmen stellen inzwischen höhere Anforderungen an ihre Dienstleister und Partner. Die Erwartungen, was die Umsetzung von strengen Sicherheitspraktiken bei Anbietern anbelangt, stiegen um 21 %. Firmen sind dazu übergegangen, von Anbietern die Einhaltung ähnlicher Standards zu verlangen, wie sie diese auch bei der eigenen Belegschaft anlegen.

 

Sichere Praktiken innerhalb der Software-Lieferkette gewinnen an Zugkraft

Kunden berichten zudem, dass es ihnen gelungen ist, bei der Einhaltung von Branchen-Best-Practices deutliche Fortschritte zu erzielen:

  • SBOM-Nutzung steigt: Unternehmen gehen zunehmend dazu über, Software Bills of Materials (SBOMs) zu erstellen. Dieser Wert ist im Vergleich zum letzten Jahr um 22 % gestiegen.
  • Mehr Bewusstsein für Open Source: Die Identifizierung und Überwachung von Open-Source-Risiken sind im Vergleich zum letzten Jahr um knapp 10 % gestiegen.

 

Wer mehr über die Ergebnisse und das BSIMM-Programm als solches erfahren möchte, kann sich den kompletten englischen BSIMM14-Bericht nach Registrierung herunterladen. BSIMM14 liefert eine eingehende Analyse der Daten und untersucht branchenspezifische Trends.

https://www.synopsys.com/software-integrity/resources/analyst-reports/bsimm.html?cmp=pr-sig
Zu den Unternehmen, die an der BSIMM-Studie teilnehmen, gehören AARP, Aetna, Bank of America, Bell Network, CIBC, Citi, Diebold Nixdorf, Egis, Eli Lilly and Company, EQ Bank, Fidelity, Finastra, Genetec, HCA Healthcare, Honeywell, Imperva, Inspur Software, Intralinks, iPipeline, Johnson & Johnson, Johnson, Landis+Gyr , Lenovo, MassMutual , MediaTek , Medtronic, Navient, Navy Federal Credit Union, NEC, NetApp, Oppo, Pegasystems, Principal Financial, Realtek, Reckitt , ServiceNow, Signify, SonicWall, Synchrony Financial, TD Ameritrade, Teradata, Trainline, U.S. Bank, Vanguard, Veritas, Verizon Media, Vivo und ZoomInfo .

 

Zur Startseite →

← Zurück