130.000 Anwendungen
Mehrheit aller Anwendungen haben zumindest eine Sicherheitslücke
Veracode veröffentlicht seine „State of Software Security“ Studie
Das Unternehmen Veracode hat für die elfte Ausgabe der jährlichen „State of Software Security“ (SoSS) Studie die Sicherheit von 130.000 Anwendungen untersucht. Laut den Ergebnissen der Studie enthalten „76 Prozent aller Anwendungen mindestens eine Sicherheitslücke“. Auch sechs Monate nachdem Veracode die gefundenen Sicherheitslücken den Entwickler gemeldet hatte, waren nur die Hälfte der Schwachstellen behoben.
Best Practices gegen Sicherheitslücken in Software
In dem Report sind außerdem „Best Practices“ enthalten, die zur Vermeidung von Sicherheitslücken in keiner Software Due Diligence Checkliste fehlen dürfen, enthalten. Veracode unterteilt diese in Faktoren „über die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien Nature und Nurture ein. Faktoren, die in Bereich „Nurture“ fallen sind unter anderem Einflussgrößen wie die Scan-Häufigkeit auf Sicherheitslücken und das API-Scanning. Der Bereich „Nature“ enthält hingegen Parameter wie die Unternehmensgröße, den Umfang der Anwendungen und die bisherige „Sicherheitsverschuldung“.
Moderne DevSecOps-Praktiken erhöhen Fehlerbehebungsraten
Besonders relevant zur Vermeidung und zur Behebung von Sicherheitslücken sind laut der Studie moderne DevSecOps-Praktiken. „Das Ziel der Software-Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, erklärt Chris Eng, Chief Research Officer bei Veracode. Entwickler, die aktuelle DevSecOps-Praktiken sicher anwenden, können demnach auch in anspruchsvollen Software-Umgebungen Maßnahmen ergreifen, die die Gesamtsicherheit der Anwendungen nachhaltig erhöht.
Die wichtigsten Ergebnisse der Studie im Überblick
Kritische Probleme
Mit einem Anteil von 76 Prozent der Software, die mindestens eine Schwachstelle enthält, sind Sicherheitslücken keine Seltenheit. Schwerwiegende Mängel konnte Veracode aber „nur“ bei 24 Prozent der Software finden. Dies ist laut den Analysten ein gutes Zeichen dafür, dass „die meisten Anwendungen keine kritischen Sicherheitslücken aufweisen, die ernste Risiken darstellen würden.“
Open-Source
Bei Open-Source-Software ist der Anteil von Software mit Sicherheitslücken in den letzten Jahren gestiegen. 70 Prozent der analysierten Open-Source-Anwendungen übernimmt mindestens eine Sicherheitslücke aus einer importierten Open-Source-Bibliothek. Bei 30 Prozent der Anwendungen existieren in den Open-Source-Bibliotheken sogar mehr Sicherheitslücken als im selbst entwickelten Code. „Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt“, erklärt Veracode.
Scan-Typen
Eine Kombination verschiedener Scan-Typen inklusive statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) führt zu einer schneller Behebung von Sicherheitslücken. „Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller“, sagt Veracode.
Automatisierung
In Unternehmen, die in ihrem Software Development Life Cycle (SDLC) die Sicherheitsüberprüfung automatisieren, kann die Hälfte der Sicherheitslücken laut Veracode „17,5 Tage schneller geschlossen werden“ als in Unternehmen, die weniger automatisiert testen.
Häufiges Scannen und schnelle Fehlerbehebung
Insgesamt zeigen die Ergebnisse der Studie einen signifikanten Zusammenhang zwischen einem häufigen Scanner der Software auf Sicherheitslücken und einer schnellen Behebung der Schwachstellen. „Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt“, konstatiert Veracode. Wie Veracode erklärt, zeigt sich dies auch darin, dass „bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen.“
