Entwickler

Laut einer von Studie von CA Veracode aktualisieren nur 52 Prozent der Entwickler ihre kommerziellen oder Open-Source-Komponenten, wenn eine neue Sicherheitslücke veröffentlicht wird.

Dies verdeutlicht das mangelnde Sicherheitsbewusstsein vieler Unternehmen und setzt sie dem Risiko von Sicherheitslecks aus. Die Studie, die von Vanson Bourne durchgeführt wurde, verdeutlicht wieder einmal das mangelnde Sicherheitsbewusstsein von Unternehmen.

Softwareentwicklungsprozesse wie DevSecOps haben dazu beigetragen, die Sicherheit der Codes von Entwicklern zu verbessern. Die gleichen Entwicklungsprozesse legen jedoch auch Wert auf Schnelligkeit und Effizienz, um mit den wirtschaftlichen Anforderungen Schritt zu halten. Als Ergebnis verlassen sich die Entwickler auf Komponenten, die Features und Funktionen aus bestehenden Projekten und Bibliotheken übernehmen. Die Studie zeigt, dass 83 Prozent der Befragten entweder kommerzielle oder Open-Source-Komponenten verwenden, wobei durchschnittlich 73 Komponenten pro Anwendung zum Einsatz kommen.

Diese Komponenten steigern die Effizienz von Entwicklern und ihr Einsatz gilt als Best Practice. Allerdings sind mit ihnen auch inhärente Sicherheitsrisiken verbunden. Pro Anwendung wurden durchschnittlich 71 Schwachstellen festgestellt, die auf solche Komponenten zurückzuführen sind. Dennoch gaben nur 23 Prozent der Befragten an, Komponenten bei jeder Veröffentlichung auf Schwachstellen zu testen. Dies kann darauf zurückzuführen sein, dass nur 71 Prozent der Unternehmen ein formelles Programm zur Anwendungssicherheit (AppSec) eingeführt haben.

Darüber hinaus führen nur 53 Prozent der Unternehmen ein Bestandsverzeichnis aller Komponenten in ihren Anwendungen. Und laut dem State of Software Security Report 2017 (SoSS) führen weniger als 28 Prozent der Unternehmen regelmäßige Analysen der Zusammensetzung durch, um die Komponenten zu erfassen.

„Wir wissen, dass Entwickler Wert darauf legen, nicht nur gute Codes zu schreiben, sondern auch sichere“, sagt Pete Chestna, Director of Developer Engagement, CA Veracode. „Das geht jedoch nicht ohne die passenden Werkzeuge. Wenn wir ihnen diese Tools zur Verfügung stellen, können sie die Sicherheit der von ihnen verwendeten Komponenten direkt in ihren Entwicklungsprozess integrieren. Als Ergebnis sehen wir eine deutliche Verbesserung in der sicheren Softwareentwicklung.“

Die Studie zeigt auch, dass Entwicklungs- (44 Prozent) oder Sicherheitsteams (31 Prozent) am ehesten für die Wartung von kommerziellen und Open-Source-Komponenten von Drittanbietern verantwortlich sind. Dies lässt darauf schließen, dass die Verantwortung zunehmend dem Entwicklungsteam übertragen wird. Da das Bewusstsein für Open-Source-Risiken weiter wächst, wird die Bereitstellung von Lösungen, Schulungen und Transparenz zur Risikominimierung zu einer wichtigen Komponente des Entwicklungsansatzes der Modern Software Factory.

Weitere Informationen:

Die vollständige Studie, die in Zusammenarbeit mit Vanson Bourne erstellt wurde, ist hier zu finden: https://info.veracode.com/resource-trials-and-tribulations-of-components-vanson-bourne-survey-report.html
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Offenes Schloss

IT-Schwachstellen nehmen weiter zu und es ist keine Lösung in Sicht

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!