Anzeige

Anzeige

Superheld

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch Restriktionen und Einschränkungen im Rahmen der COVID-19-Pandemie wurde der Digitalisierungsschub nochmal enorm vorangetrieben. Die Zukunft ist ungewiss – der Bedarf an sicheren und digitalen Lösungen bleibt weiterhin hoch.

Deshalb braucht die Softwareentwicklung Superhelden – sogenannte Security Champions – die Sicherheit bereits während den Entwicklungsprozess mitdenken. Julian Totzek-Hallhuber, Principal Solutions Architect bei Veracode, gibt Einblicke in die Fähigkeiten, die Security Champions ausmachen.

Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.

Herausforderungen für die Anwendungssicherheit

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit.

Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.

Softwareentwicklung braucht „Security Champions“

Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.

Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen

Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.

Julian Totzek-Hallhuber, Solution Architect
Julian Totzek-Hallhuber
Solution Architect, Veracode
(Bildquelle: Veracode)

Artikel zu diesem Thema

Mitarbeiter Team
Feb 22, 2021

Der Faktor „Mensch“ in der Softwareentwicklung

Im Jahr 2021 wird das Konzept von DevOps noch stärker an Relevanz gewinnen. Immer mehr…
Programmierer
Aug 05, 2020

Anwendungssicherheit: Menschliches und technologisches Potential nutzen

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten…
Glückliche Entwickler
Apr 08, 2020

Ausgereifte DevSecOps-Verfahren beeinflussen Entwicklerzufriedenheit

Sonatype veröffentlicht die Ergebnisse seiner siebten jährlichen DevSecOps Community…

Weitere Artikel

Programmieren

Wie der Reifegrad der Softwarebereitstellung das Geschäftswachstum ankurbelt

CloudBees gab die Ergebnisse einer Studie bekannt, die in seinem Auftrag von Forrester Consulting durchgeführt wurde und die zeigt, dass Unternehmen mit einem hohen Reifegrad der Software-Bereitstellung dreimal wahrscheinlicher ein jährliches Wachstum von 15…
Login

Jamf verbessert die Verwaltung von gemeinsam genutzten iPhones und iPads

Jamf, Softwareanbieter für Apple-Gerätemanagement, bringt einen neuen Single Login-Workflow auf den Markt, der von Jamf Setup und Jamf Reset unterstützt wird. Der Workflow vereinfacht und sichert die Bereitstellung von gemeinsam genutzten Geräten.
Software

Software wird immer komplexer und sicherer

Die Softwareentwicklung wird sich in den kommenden Jahren mit einer immer höheren Komplexität und stark steigenden Sicherheitsanforderungen konfrontiert sehen. Dies geht aus dem aktuellen Report „IT-Trends der 2020er Jahre“ hervor.
Anwendungssicherheit

Cloud-native Architekturen überfordern herkömmliche Sicherheitslösungen

Traditionelle Ansätze für die Anwendungssicherheit sind durch die zunehmende Nutzung von Cloud-nativen Architekturen, DevOps und agilen Methoden überfordert. Das ist eines der Ergebnisse der unabhängigen weltweiten Umfrage im Auftrag des…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.