Anzeige

Superheld

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch Restriktionen und Einschränkungen im Rahmen der COVID-19-Pandemie wurde der Digitalisierungsschub nochmal enorm vorangetrieben. Die Zukunft ist ungewiss – der Bedarf an sicheren und digitalen Lösungen bleibt weiterhin hoch.

Deshalb braucht die Softwareentwicklung Superhelden – sogenannte Security Champions – die Sicherheit bereits während den Entwicklungsprozess mitdenken. Julian Totzek-Hallhuber, Principal Solutions Architect bei Veracode, gibt Einblicke in die Fähigkeiten, die Security Champions ausmachen.

Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.

Herausforderungen für die Anwendungssicherheit

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit.

Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.

Softwareentwicklung braucht „Security Champions“

Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.

Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen

Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.

Julian Totzek-Hallhuber, Solution Architect
Julian Totzek-Hallhuber
Solution Architect, Veracode
(Bildquelle: Veracode)

Artikel zu diesem Thema

Mitarbeiter Team
Feb 22, 2021

Der Faktor „Mensch“ in der Softwareentwicklung

Im Jahr 2021 wird das Konzept von DevOps noch stärker an Relevanz gewinnen. Immer mehr…
Programmierer
Aug 05, 2020

Anwendungssicherheit: Menschliches und technologisches Potential nutzen

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten…
Glückliche Entwickler
Apr 08, 2020

Ausgereifte DevSecOps-Verfahren beeinflussen Entwicklerzufriedenheit

Sonatype veröffentlicht die Ergebnisse seiner siebten jährlichen DevSecOps Community…

Weitere Artikel

Open Source

Open Source treibt die Digitalisierung weiter voran

Sonatype hat seinen siebten jährlichen State of the Software Supply Chain Report veröffentlicht, der ein anhaltend starkes Wachstum des Open Source-Angebots und der Dynamik der Nachfrage zeigt. Die Nachfrage nach Open Source ist im Vergleich zum Vorjahr um 73…
Software

Die Renaissance der Standard-Software

Starke Individualisierung und Anpassung von Software an die Bedürfnisse des Unternehmens oder Eigenentwicklungen galten für viele Unternehmen lange Zeit als Lösung der Wahl. Doch dieser Trend hat sich grundlegend gewandelt.
SAP

Erfolgreiche Migration auf SAPs neue Plattform S/4HANA

Die Digitalisierung ist längst im Alltag von Unternehmen angekommen und zieht sich mittlerweile durch sämtliche Branchen und Unternehmensbereiche. Mit dem Tempo der digitalen Wirtschaft steigt auch der ständige Innovationsdruck für Unternehmen.

Weltweiter Rollout eines Standards für die Rechnungsverarbeitung

Der weltweit tätige Automobilzulieferer KIRCHHOFF Automotive nutzt die xSuite Rechnungsverarbeitungslösung als Werkzeug zur Vereinheitlichung der Prozesse in der Kreditorenbuchhaltung.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.