Sicherheitsverletzungen durch OpenSource Tools

Unternehmen investieren in DevSecOps-Transformation

Eine Sonatype-Umfrage deckt auf, dass während die Sicherheitslücken bei Anwendungen um 55 % zunahmen, DevOps-Teams 338 % häufiger auf automatisierte Sicherheit setzten.

Sonatype, Anbieter von automatisierter Open Source Governance und DevSecOps, veröffentlicht die Ergebnisse seiner 5. jährlichen DevSecOps Community Survey, innerhalb derer 2.076 IT-Experten befragt wurden. Die Umfrage vermittelt die Praxisperspektiven der Fachleute im Hinblick auf die Entwicklung von DevSecOps-Verfahren, die Verschiebung von Investitionen sowie sich verändernde Wahrnehmungen. Bei Umfrageteilnehmern, die ausgereifte DevOps-Verfahren einsetzen, lag die Wahrscheinlichkeit, automatisierte Sicherheit zu integrieren um 338 % höher, als bei Unternehmen, die keine DevOps-Verfahren im Einsatz haben.

Anzeige

Automatisierte Analyse der Anwendungssicherheit

Bild 1: Automatisierte Analyse der Anwendungssicherheit

Nach einem weiteren Rekordjahr in puncto Sicherheitsverletzungen ergab die Analyse der Antworten, dass 3 von 10 Organisationen Sicherheitsverletzungen durch Schwachstellen in Open-Source-Komponenten vermuteten oder verifizierten – ein Anstieg von 55 % gegenüber 2017 und um 121 % seit 2014.

Sicherheitsverletzungen durch OpenSource Tools

Bild 2: Sicherheitsverletzungen durch OpenSource Tools

Die diesjährige Umfrage ergab auch, dass Investitionen in Open Source Governance (44 %), Container-Sicherheit (56 %) und Web Application Firewalls (58 %) für Unternehmen, die DevSecOps-Transformationen durchführen, am wichtigsten sind.

“Während die Anzahl der Sicherheitsverletzungen im Zusammenhang mit Open-Source-Komponenten im vergangenen Jahr um mehr als 50 % zunahm, zeigten diejenigen, die in DevSecOps investieren, eine um 85 % höhere Cybersicherheitsbereitschaft im Vergleich zu jenen, die nicht in DevSecOps investieren”, so Wayne Jackson, CEO von Sonatype. “Es ist offensichtlich, dass die jüngsten hochkarätigen Sicherheitsverstöße die Investitionen in DevSecOps erhöht haben. Unsere Umfrage offenbarte auch starke Investitionen von Organisationen, die bestrebt sind, den „Security by Design“-Anforderungen der im Mai 2018 in Kraft tretenden europäischen Datenschutzverordnung (GDPR) einen Schritt voraus zu sein.

Weitere wichtige Erkenntnisse aus der Umfrage:

  • 77 % der erfahreneren DevOps-Organisationen verfügen über Open-Source-Richtlinien mit einer Compliance-Rate von 76 %. Dagegen hatten nur 58 % der Befragten ohne etablierte DevOps-Verfahren eine Richtlinie mit einer Konformitätsrate von 54 % – was zeigt, dass DevSecOps-Automatisierung kaum noch ignorierbar ist.
     
  • Mit zunehmender Berücksichtigung der Einhaltung der GDPR-Richtlinien (General Data Protection Regulation – europäische Datenschutzverordnung) bauen 59 % der fortgeschrittenen DevOps-Unternehmen mehr Sicherheitsautomatisierung in ihren Entwicklungsprozess ein.
     
  • Unternehmen mit ausgereiften DevOps-Verfahren glauben, für Cyber Security „gut gerüstet“ zu sein.
     
  • 81 % derjenigen mit ausgereiften DevOps-Verfahren verfügen über einen Cyber Security-Notfallplan im Vergleich zu 60 % derjenigen ohne DevOps-Verfahren.
     
  • 88 % derjenigen mit ausgereiften DevOps-Verfahren investieren in Anwendungssicherheitstrainings, während 35 % derjenigen mit unzureichenden Verfahren angaben, keinen Zugang zu Sicherheitstrainings zu haben. Dieses Ergebnis deutet auf eine stärkere Cybersicherheitsbereitschaft derer hin, die in DevOps investieren.
     
  • Das Verhältnis von Entwicklern zu Sicherheitsprofis liegt bei einer Branchenstandardquote von 100:1.
     
  • 63 % der Befragten mit ausgereiften DevOps-Verfahren geben an, Sicherheitsprodukte einzusetzen, um Schwachstellen in Containern zu identifizieren, da diese Komponenten in modernen IT-Landschaften immer größere Verbreitung finden.
     
  • 48 % der Befragten gaben zu, dass Entwickler wissen, wie wichtig Anwendungssicherheit ist, sie jedoch nicht die Zeit hätten, sich damit zu beschäftigen, was das Wachstum der Investitionen in automatisierte Sicherheit erklärt.

Unterstützende Zitate:

“Der Reiz, eine Technologie zu verwenden, die kostenlos ist, anstatt eine lizenzierte, kostenpflichtige Software zu kaufen, ist offensichtlich. Die Risiken jedoch auch. Es ist besorgniserregend, dass einige Entwickler, wahrscheinlich der Geschwindigkeit und der Kosten wegen, die für ihre Organisationen ausgearbeiteten und kommunizierten Richtlinien einfach ignorieren”.
Helen Beal, DevOpsologist| Ranger4

“Es scheint, dass DevOps in Verbindung mit einem Sicherheitsdenken nicht ausreicht. Ein vollständiges DevSecOps-Konzept – bei dem Sicherheit ein grundlegendes Prinzip der Softwarelieferung ist und von Anfang an berücksichtigt wird – ist notwendig.”
Benjamin Wootton, Mitgründer und CTO | Contino

“Da mehr Software in ein Ökosystem eingebettet ist, wird das Management durch mehr Automatisierung weniger anspruchsvoll. Die Automatisierung von Sicherheitswerkzeugen in container-basierten Workflows wird zu einem kritischen Bestandteil der Sicherheitslage eines jeden großen Unternehmens.”
Chris Short, Sr. DevOps Advocate | SJ Technologies

“Es gibt nicht den einen einfachen Weg, die Unternehmenskultur, -politik oder -struktur zu überarbeiten. Noch wichtiger ist, dass dies kein praktischer Ansatz ist. Der Schlüssel zu erfolgreichen Transformationen liegt darin, wie Entwicklungsorganisationen das Wissen, die Erfahrung und die Tools innerhalb ihrer Sicherheitsteams nutzen können, um sichere Anwendungen von Anfang an bis zur Bereitstellung zu entwickeln”.
Hasan Yasar, Technischer Leiter der Secure Lifecycle Solutions Group, CERT Division des Software Engineering Institute | Carnegie Mellon University

“Es geht nicht nur um die Automatisierung von Entwicklung, Bereitstellung und Sicherheit, sondern auch darum, die Art und Weise zu verändern, wie alle Teile einer Organisation – nicht nur die technischen – in den Lebenszyklus der Softwareentwicklung eingebunden sind. Wenn man darüber nachdenkt, sieht man, dass DevSecOps in großen Organisationen in Wirklichkeit DevSecOpsAndEverybodyElse ist.”
Oleg Gryb, Chief Security Architect | Finanzdienstleistungsindustrie

Über die Umfrage:

Die “2018 DevSecOps Community Survey” gewährt einen Einblick in die Einstellung von Software-Profis zu DevOps Best Practices und die sich verändernde Rolle der Anwendungssicherheit. Die Umfrage wurde durchgeführt von Sonatype, Carnegie Mellon’s Software Engineering Institute, Contino, DZone, Ranger4, SJ Technologies und Signal Sciences. Die Fehlerquote der Umfrage beträgt ± 2,02 Prozentpunkte für 2.076 IT-Experten mit einem Konfidenzniveau von 95 %.

Weitere Informationen:

Die DevSecOps Community Survey 2018 finden Sie hier.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.