Veracode, ein weltweit führender Anbieter von Lösungen zum Testen der Anwendungssicherheit, hat heute Daten veröffentlicht, die zeigen, dass die Finanzdienstleistungsbranche einen der besten Prozentsätze in Bezug auf Schwachstellen im Vergleich zu anderen Branchen vorweisen kann, jedoch in Bezug auf die Behebung von Software-Schwachstellen eine der niedrigsten Raten hat. Mit Blick auf schwerwiegende Schwachstellen liegt der Sektor ebenfalls im Mittelfeld, denn 18 Prozent der Anwendungen weisen eine schwerwiegende Sicherheitslücke auf, sodass es naheliegt, dass Finanzunternehmen der Erkennung und Behebung der entscheidendsten Schwachstellen Priorität einräumen sollten.
Die Ergebnisse wurden im jährlichen Bericht State of Software Security, v12, des Unternehmens vorgestellt, in dem 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und Behörden analysiert wurden. Von den sechs Branchen weist der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitsschwachstellen auf. Im letztjährigen Bericht verzeichnete die Branche die niedrigste Anzahl von Software-Sicherheitsschwachstellen aller Sektoren, wurde aber in der diesjährigen Studie vom Fertigungssektor überholt. Trotz weniger Schwachstellen insgesamt liegt der Finanzdienstleistungssektor gemeinsam mit den Feldern Technologie und Behörden mit dem niedrigsten Anteil behobener Schwachstellen an letzter Stelle.
„Einer der Vorteile des langjährigen Einsatzes für die Community der Softwareentwickler ist es, dass Veracode im Laufe der Zeit Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen erkennen kann. Wir haben festgestellt, dass Finanzdienstleistungsanwendungen zwar weniger Sicherheitsschwachstellen aufweisen als im letzten Jahr, der Sektor aber bei der Behebungsrate hinter anderen Branchen zurückbleibt. Unsere Untersuchung hat gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen können. Unternehmen, deren Entwicklungsteams eine praxisnahe Schulung mit echten Anwendungen absolviert haben, konnten Schwachstellen um 35 Prozent schneller als Unternehmen ohne eine derartige Schulung beheben“, so Chris Eng, Chief Research Officer von Veracode.
Sicherung der weltweiten Software-Lieferkette
Trotz des zweifellos vorhandenen Raums für Fortschritte sowohl in Bezug auf das Vorkommen von Schwachstellen als auch die Behebungsraten, legen Finanzdienstleister ein schnelleres Tempo an den Tag, als die meisten anderen, wenn sie Schwachstellen beheben.
Eng sagte: „Die Executive Order der USA zur Cybersicherheit hat neben den Vorschriften für Sicherheitskontrollen für die Open-Source-Nutzung wie die DSGVO und die Cybersicherheits-Vorschriften des New Yorker Finanzministeriums die Bedeutung der Sicherung der Software-Lieferkette untermauert. Ein Grund, dass die Finanzbranche relativ schnell auf durch Software Composition Analysis (SCA) entdeckte anfällige Bibliotheken reagiert, könnte sein, dass es sich hier um einen stark regulierten Sektor handelt.“
Mithilfe der SCA entdeckte Schwachstellen in Bibliotheken von Drittanbietern bleiben in der Regel in allen Branchen länger bestehen. So sind 30 Prozent nach zwei Jahren immer noch nicht behoben. Hinsichtlich der Behebung von Open-Source-Schwachstellen ist der Finanzsektor im ersten Jahr noch genauso schnell wie andere Branchen, beschleunigt dann jedoch das Tempo und gewinnt einen Monat im Vergleich zum branchenübergreifenden Durchschnitt.
Obwohl der Finanzsektor die meisten anderen Branchen bei den durch dynamische und statische Analysen bzw. SCA entdeckten Behebungszeiten für Schwachstellen überrundet, gibt es der Studie zufolge noch reichlich Raum für weitere Verbesserungen, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden – 116 Tage für dynamische Analysen, 385 Tage für SCA und 288 Tage für statische Analysen. Da auf die Komponenten von Drittanbietern bis zu 90 Prozent* der Codebasis einer Anwendung entfallen, führt ein frühzeitiges und häufiges Scannen mithilfe einer Kombination von Testarten zu einer Senkung des unvorhergesehenen Aufwands für die Gefahrenabwehr und einer Minderung des Risikos, Sicherheitsschwachstellen durch die Nutzung von Drittanbieter-Software zu erhalten.
Der State of Software Security v12 Snapshot von Veracode zur Finanzdienstleistungsbranche steht hier zum Download bereit und ein Video mit den Ergebnissen steht hier zur Verfügung.
* The Linux Foundation Statista, Joseph Perlow, “A Summary of Census II: Open Source Software Application Libraries the World Depends On”: https://www.statista.com/statistics/617136/digital-population-worldwide/, 7. März 2022
Über den State of Software Security Report
Mithilfe von Veracode State of Software Security (SoSS), v12, wurden die gesamten historischen Daten von Diensten und Kunden von Veracode analysiert. Dazu zählen insgesamt mehr als eine halbe Million Anwendungen (592.720) mithilfe aller Scantypen, mehr als eine Million Scans mit dynamischer Analyse (1.034.855), mehr als fünf Millionen Scans mit statischer Analyse (5.137.882) und mehr als 18 Millionen Scans zur Analyse der Software-Zusammensetzung (18.473.203). All diese Scans ergaben 42 Millionen statische Rohdaten, 3,5 Millionen dynamische Rohdaten und sechs Millionen SCA-Rohdaten.
Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.
Über Veracode
Veracode ist ein führender unabhängiger AppSec-Partner für die Erstellung sicherer Software, die Reduzierung des Risikos von Sicherheitsverletzungen und die Steigerung der Produktivität von Sicherheits- und Entwicklungsteams. Dadurch können Unternehmen, die Veracode nutzen, ihr Geschäft und die Welt voranbringen. Mit der Kombination aus Prozessautomatisierung, Integrationen, Geschwindigkeit und Reaktionsschnelligkeit hilft Veracode Unternehmen, genaue und zuverlässige Ergebnisse zu erhalten, um sich auf die Behebung von potenziellen Schwachstellen zu konzentrieren, anstatt diese nur zu finden. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog und auf Twitter.
Copyright © 2022 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Ländern eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum der jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20220823005505/de/