Veracode, ein weltweit führender Anbieter moderner Prüfsysteme für Anwendungssicherheit, hat heute Daten bekannt gegeben, die Unternehmen Zeit und Geld sparen könnten, indem sie Entwicklern dabei helfen, die Entstehung und Anhäufung von Sicherheitslücken in ihrer Software zu minimieren. Im Veracode State of Software Security 2023-Bericht wird festgestellt, dass sich im Laufe der Zeit Fehler ansammeln, so dass fast 32 Prozent der Anwendungen beim ersten Scan Fehler aufweisen, und wenn sie fünf Jahre lang in Produktion waren, enthalten fast 70 Prozent mindestens eine Sicherheitslücke. Veracode veröffentlicht seit 2010 seinen Jahresbericht, in dem die wichtigsten Erkenntnisse aus seinem vielfältigen Kundenstamm zusammengefasst werden.
Angesichts der Kosten einer Datenschutzverletzung i.H.v. durchschnittlich 4,35 Millionen US-Dollar* sollten Teams früh im Lebenszyklus der Softwareentwicklung der Wartung Priorität einräumen, um das durch eine Anhäufung von Fehlern verursachte Risiko klein zu halten. Chris Eng, Chief Research Officer bei Veracode, sagte: „Wie bei allen unseren Studien wollen wir instruktive Erkenntnisse liefern, die Entwickler sofort umsetzen können. Aus den diesjährigen Erkenntnissen folgen zwei wichtige Überlegungen: Wie lässt sich die Wahrscheinlichkeit verringern, dass Fehler überhaupt ins System geraten, und wie lässt sich die Anzahl der Fehler verringern, die hineingeraten sind? Neben technischen Zugriffskontrollen sind sichere Programmierpraktiken umso entscheidender für die Cybersicherheit im Jahr 2023 und darüber hinaus.“
Keine direkte Korrelation zwischen App-Wachstum und Fehlerentstehung
Nach dem ersten Scan treten Apps schnell in eine „Flitterwochenzeit“ der Stabilität ein, und in fast 80 Prozent treten in den ersten 1,5 Jahren überhaupt keine neuen Fehler auf. Nach diesem Zeitpunkt beginnt die Zahl der neu entstehenden Fehler jedoch wieder zu steigen und erreicht nach fünf Jahren etwa 35 Prozent.
Die Studie ergab, dass die Schulung der Entwickler, die Verwendung mehrerer Scan-Typen, einschließlich des Scannens über API, und die Scan-Häufigkeit einflussreiche Faktoren zur Verringerung der Wahrscheinlichkeit der Fehlerentstehung sind, und empfahl den Teams, diese Punkte zu zentralen Komponenten ihrer Software-Sicherheitsprogramme zu machen. Beispielsweise korreliert das Überspringen von Monaten zwischen Scans mit einer erhöhten Wahrscheinlichkeit, dass Fehler gefunden werden, wenn ein Scan schließlich ausgeführt wird. Darüber hinaus variieren die häufigsten Fehler in Apps je nach Typ der Überprüfung, was die Bedeutung der Verwendung mehrerer Scantypen unterstreicht, um sicherzustellen, dass schwer zu identifizierende Fehler nicht übersehen werden.
Die Fragilität von Open Source
Mit einem verstärkten Fokus auf der “Software Bill of Materials” im vergangenen Jahr untersuchte das Forschungsteam von Veracode auch 30.000 Open-Source-Repositories, die öffentlich auf GitHub gehostet werden. Interessanterweise wurde an 10 Prozent der Repositories seit fast sechs Jahren kein Commit – eine Änderung am Quellcode – vorgenommen. Chris Eng sagte: „Die Verwendung einer Lösung zur Software-Kompositionsanalyse (SCA), die über die National Vulnerability Database hinaus mehrere Quellen über Fehler nutzt, wird Teams vorab warnen, sobald eine Schwachstelle offengelegt wird, und es ihnen ermöglichen, Schutzmaßnahmen schneller zu implementieren, hoffentlich bevor die Ausnutzung beginnt. Es wird auch empfohlen, organisatorische Richtlinien zur Erkennung und Verwaltung von Schwachstellen festzulegen und Möglichkeiten zur Reduzierung der Abhängigkeiten von Drittanbietern in Betracht zu ziehen.“
Vorbeugen ist besser als Heilen: Schritte zum Erfolg
Die Forschung von Veracode zeigt wichtige Schritte auf, die Sicherheits- und Entwicklungsteams unternehmen sollten:
- Gehen Sie Rückstände in der Technik oder Sicherheit so früh und schnell wie möglich an. Die Fehlerbehebungskurve muss früher und schneller fallen, da eine Anwendung bis zum Alter von zwei Jahren Fehler angehäuft haben wird. Ob durch zunehmende Komplexität aufgrund eines jahrelangen stetigen Wachstums oder durch einen nachlassenden Fokus auf der Anwendungsentwicklung – dieser Trend setzt sich weiter nach oben fort. Das bedeutet, dass eine 90-prozentige Chance besteht, dass eine Anwendung nach 10 Jahren mindestens einen Fehler enthält. Häufiges Scannen mit einer Vielzahl von Tools hilft, Fehler zu finden und zu beheben, die möglicherweise im Laufe der Zeit entstanden sind und sich angehäuft haben.
- Priorisieren Sie Automatisierungs- und Sicherheitsschulungen für Entwickler, um das Bewusstsein dafür zu schärfen, welche Arten von Schwachstellen am wahrscheinlichsten entstehen werden, sowie Techniken, um dem Auftreten von Fehlern allgemein vorzubeugen. Insgesamt zeigen die Daten eine Wahrscheinlichkeit von 27 Prozent, dass in einem beliebigen Monat neue Fehler in einer Anwendung entstehen. Organisationen, die über API scannen, reduzieren diese Wahrscheinlichkeit auf 25 Prozent. Diejenigen, die “10 Security Labs” absolvieren – eine Schulungsplattform, die praktische Erfahrung in der Erkennung und Behebung von Schwachstellen bietet – verringern ebenfalls die Wahrscheinlichkeit, dass Schwachstellen in einem beliebigen Monat entstehen, um 1,8 Prozent.
- Richten Sie ein Managementprotokoll für den Lebenszyklus der Anwendung ein, das Änderungsmanagement, Ressourcenzuordnung und organisatorische Kontrollen umfasst. Untersuchen Sie, wie die Unterstützungsfähigkeits- und Qualitätskontrollphasen in Ihrer Organisation aussehen. Einleitende Diskussionen könnten zu einer geplanten Obsoleszenz für manche Anwendungen führen und zu einer Überprüfung der Prozesse und Qualitätskontrollmaßnahmen, die mit der kontinuierlichen Produktentwicklung verbunden sind.
Jay Jacobs, Mitbegründer und Data Scientist am Cyentia Institute, mit dem Veracode den Bericht erstellt hat, schloss: „Mit dem State of Software Report von Veracode ist es faszinierend, die Akkumulation und das Verhalten von Fehlern zu untersuchen und dabei auf Daten aus fast zwei Jahrzehnten zurückzugreifen. Die Breite und Tiefe der Daten ermöglicht uns nicht nur, die optimale Vorgehensweise zu erkennen, sondern auch, einige der subtileren Faktoren zu identifizieren, die früh im Entwicklungsprozess angegangen werden müssen, um das Risiko für später zu minimieren.“
In der Studie Veracode State of Software Security 2023 wurden mehr als eine dreiviertel Million Anwendungen von kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten analysiert. Der vollständige Bericht steht hier zum Download bereit.
* IBM Security und The Ponemon Institute, “Cost of a Data Breach Report 2022”, Juli 2022, https://www.ibm.com/downloads/cas/3R8N1DZJ
Über den State of Software Security Report
Im Veracode State of Software Security 2023-Bericht wurden Daten von großen und kleinen Unternehmen analysiert, von kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. Der Bericht enthält Erkenntnisse aus mehr als einer dreiviertel Million (759.445) Anwendungen, die alle Scan-Typen verwendet haben, mehr als einer Million (1.262.147) Scans mit dynamischer Analyse, mehr als sieben Millionen (7.522.989) Scans mit statischer Analyse und mehr als 18 Millionen ( 18,473,203) Scans zur Analyse der Software-Zusammensetzung. Alle diese Scans lieferten 86 Millionen statische Rohdaten-Ergebnisse, 3,7 Millionen dynamische Rohdaten-Ergebnisse und 8,5 Millionen Rohdaten aus der Software-Zusammensetzungsanalyse.
Über Veracode
Veracode ist ein führender AppSec-Partner für die Erstellung sicherer Software, die Verringerung des Risikos von Sicherheitsverletzungen und die Steigerung der Produktivität von Sicherheits- und Entwicklungsteams. Dadurch können Unternehmen, die Veracode verwenden, ihr Geschäft und die Welt voranbringen. Mit seiner Kombination aus Prozessautomatisierung, Integrationen, Geschwindigkeit und Reaktionsfähigkeit hilft Veracode Unternehmen dabei, genaue und zuverlässige Ergebnisse zu erhalten, damit sie sich mehr auf die Behebung und nicht nur auf das Auffinden potenzieller Schwachstellen konzentrieren können. Weitere Informationen finden Sie unter: www.veracode.com, auf dem Veracode blog, auf LinkedIn, und auf Twitter.
Copyright © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier zitierten Marken sind Eigentum ihrer jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20230111005142/de/