Illustration Absmeier foto freepik
Der »Software Vulnerability Snapshot 2023« Bericht hat ergeben, dass die Zahl der aufgedeckten Schwachstellen in den letzten beiden Jahren um 14 % zurückgegangen ist.
Synopsys, Inc. hat seinen »Software Vulnerability Snapshot 2023« Bericht veröffentlicht. Den vom Synopsys Cybersecurity Research Center (CyRC) analysierten Daten zufolge, sind die in den Zielanwendungen gefundenen Schwachstellen deutlich zurückgegangen – von 97 % im Jahr 2020 auf 83 % im Jahr 2022. Dies lässt sich als ermutigendes Zeichen dafür interpretieren, dass Code-Reviews, automatisierte Tests und Continuous Integration (CI, kontinuierliche Integration) dazu beitragen, häufig auftretende Programmierfehler zu reduzieren.
Der Bericht enthält Daten aus einem Zeitraum von drei Jahren (2020 – 2022). Die Ergebnisse beziehen sich auf Tests, die mittels der Synopsys Security Testing Services an Web-Applikationen, mobilen Anwendungen, Netzwerksystemen und Quellcode durchgeführt wurden. Die Tests sind so konzipiert, dass sie laufende Anwendungen untersuchen, wie das auch ein realer Angreifer tun würde. Dabei werden verschiedene Sicherheitstests eingesetzt, darunter Penetrationstests, Dynamic Application Security Testing (DAST), Mobile Application Security Testing (MAST) und Tests der Netzwerksicherheit.
Neben dieser für die Branche positiven Entwicklung zeigen die Daten aber auch, dass es nicht mehr ausreicht, sich bei Sicherheitstests auf eine einzige Lösung wie etwa statische Anwendungstests (SAST, Static Application Security Testing) zu verlassen. So machten beispielsweise Fehlkonfigurationen von Servern durchschnittlich 18 % aller in den drei Testjahren gefundenen Schwachstellen aus. Ohne einen mehrschichtigen Sicherheitsansatz, der unterschiedliche Testansätze miteinander kombiniert, werden diese Arten von Schwachstellen vermutlich nicht entdeckt. Zu diesen Sicherheitstests zählen SAST, um Codierungsfehler aufzudecken, DAST zur Untersuchung bereits laufender Anwendungen und SCA zur Identifizierung von Schwachstellen, die durch Komponenten von Drittanbietern eingebracht wurden. Dazu kommen Penetrationstests, um die Probleme zu erkennen, die bei internen Tests möglicherweise übersehen wurden.
»Zum ersten Mal seit Jahren beobachten wir bei der Zahl der bekannten Softwareschwachstellen einen Rückgang. Dieser Befund macht Hoffnung, dass Unternehmen Sicherheit nicht nur ernst nehmen, sondern beim Thema Softwaresicherheit einen strategischen und ganzheitlichen Ansatz priorisieren, um eine nachhaltige Wirkung zu erzielen«, kommentiert Jason Schmitt, General Manager der Synopsys Software Integrity Group. »Da Hacker immer raffinierter vorgehen, ist ein mehrschichtiger Sicherheitsansatz notwendiger denn je. Nur dann lässt sich erkennen, wo Softwarerisiken lauern und Unternehmen davor schützen, dass diese Risiken ausgenutzt werden.«
Zu weiteren Ergebnissen des Berichts zählen:
- Schwachstellen mit hohem Schweregrad sind weniger wahrscheinlich: Im Durchschnitt der letzten drei Jahre wurden bei 92 % aller Tests irgendeine Form von Schwachstelle aufgedeckt. Allerdings enthielten nur 27 % dieser Tests Schwachstellen mit einem hohem Schweregrad und 6,2 % Schwachstellen mit einem als kritisch einzustufenden Schweregrad.
- Durchgesickerte Informationen sind nach wie vor ein großes Risiko: Das größte der aufgedeckten Sicherheitsprobleme ist zwischen 2020 und 2022 unverändert geblieben – Informationslecks, ein massives Sicherheitsproblem, das auftritt, wenn sensible Informationen für Unbefugte zugänglich sind. Durchschnittlich 19 % der gesamten Schwachstellen standen in direktem Zusammenhang mit Informationslecks.
- Cross-Site-Scripting ist auf dem Vormarsch: Von allen im Jahr 2022 gefundenen hochriskanten Schwachstellen waren 19 % anfällig für Cross-Site-Scripting-Angriffe.
- Software von Drittanbietern birgt erhöhte Risiken: Unter den Top 10 der Sicherheitsprobleme im Jahr 2022 wurde bei 25 % der durchgeführten Tests festgestellt, dass »anfällige Bibliotheken von Drittanbietern im Einsatz« ein Risiko darstellen. Software ist sehr wahrscheinlich angreifbar, wenn Sie die Versionen aller verwendeten Komponenten nicht kennen, einschließlich der Komponenten von Drittanbietern und Open-Source-Software.
Wenn Sie mehr erfahren möchten, laden Sie sich den »2023 Software Vulnerability Snapshot«