Thought Leadership
Die Geschwindigkeit moderner Softwareentwicklung steigt – doch die Sicherheitsstrategien halten nicht Schritt.
Das zeigt der aktuelle „State of DevSecOps Report“ von Datadog. Laut der Analyse weisen 87 Prozent der untersuchten Unternehmen mindestens eine bekannte, aktiv ausnutzbare Schwachstelle in produktiven Services auf. Die Auswertung basiert auf Telemetriedaten aus Zehntausenden Anwendungen weltweit und zeichnet ein Bild wachsender Risiken entlang des gesamten Software-Lebenszyklus.
Schwachstellen entstehen am Anfang und am Ende
Sicherheitsprobleme treten nicht mehr nur im laufenden Betrieb auf. Sie beginnen bereits bei der Auswahl und Pflege von Abhängigkeiten, und setzen sich in Build- und Deployment-Pipelines fort.
Ein großes Problem ist die Alterung von Softwarekomponenten. Die mittlere „Überfälligkeit“ von Abhängigkeiten liegt inzwischen bei 278 Tagen. Das sind 63 Tage mehr als im Vorjahr. Veraltete Bibliotheken enthalten häufig bekannte Schwachstellen, die nicht zeitnah geschlossen werden.
Gleichzeitig beschleunigt der Einsatz externer Komponenten die Entwicklung erheblich. Doch diese Geschwindigkeit birgt neue Gefahren. Die Hälfte der Unternehmen übernimmt neue Bibliotheksversionen innerhalb von 24 Stunden nach Veröffentlichung. Nur ein sehr kleiner Anteil fixiert Drittanbieter-Komponenten wie GitHub-Actions explizit auf definierte Versionsstände. Dadurch können unbemerkte Änderungen in fremdem Code in eigene Build-Prozesse einfließen.
CI/CD-Pipelines werden so selbst zu einem sicherheitskritischen Bestandteil der Lieferkette.
Geschwindigkeit allein ist nicht das Kernproblem
Wie Datadog-Experte Andrew Krug betont, liegt die Herausforderung weniger im Tempo selbst als in fehlender Transparenz. DevSecOps-Teams bewegen sich in einem Spannungsfeld: Wer zu langsam agiert, sammelt unsichere Altlasten an. Wer zu schnell automatisiert, riskiert die Einführung ungeprüfter Komponenten.
Mit wachsender Komplexität moderner Cloud-Umgebungen wird es schwieriger, relevante Risiken von rein theoretischen Gefahren zu unterscheiden. Hier gewinnen KI-gestützte Analysen an Bedeutung, um Prioritäten klarer zu definieren.
Zu viele Warnungen, zu wenig Klarheit
Ein weiteres Problem ist die Flut an Sicherheitsmeldungen. Obwohl viele Schwachstellen als „kritisch“ eingestuft werden, relativiert sich ihre Bedeutung im tatsächlichen Laufzeitkontext.
Nur 18 Prozent der als kritisch markierten Schwachstellen bleiben es, wenn berücksichtigt wird, ob sie tatsächlich erreichbar oder ausnutzbar sind. Ohne Kontext entsteht ein Übermaß an Warnungen, das Teams bindet und Ressourcen verschlingt. Die Folge sind verzögerte Reaktionen auf wirklich relevante Bedrohungen und ein wachsendes operatives Risiko.
Lieferkette im Fokus der Sicherheitsstrategie
Der Bericht von Datadog unterstreicht, dass Sicherheitsrisiken zunehmend von der Software-Lieferkette ausgehen, also von Tools, Bibliotheken und Automatisierungsprozessen. Der klassische Fokus auf den Anwendungscode allein greift zu kurz.
Moderne Sicherheitsstrategien müssen daher Build-Prozesse, Drittanbieter-Komponenten und Laufzeitkontext gleichermaßen berücksichtigen. Entscheidend ist nicht nur, Schwachstellen zu erkennen, sondern sie anhand ihrer tatsächlichen Relevanz zu priorisieren.
Der DevSecOps-Report von Datadog zeichnet eine Branche im Umbruch. Schnellere Entwicklungszyklen, zunehmende Automatisierung und die starke Abhängigkeit von Drittanbieter-Software verschieben das Risikoprofil moderner Anwendungen.
Unternehmen stehen vor der Aufgabe, Transparenz zu schaffen und Sicherheitsentscheidungen stärker kontextbasiert zu treffen. Nur so lässt sich verhindern, dass Warnmeldungen zum Hintergrundrauschen werden, während echte Bedrohungen unentdeckt bleiben.
