State of Software Security Studie

76 Prozent der Anwendungen mit mindestens einer Sicherheitslücke

Veracode, Anbieter von Application-Security-Testing-Lösungen, stellt die elfte Ausgabe seiner jährlichen Studie State of Software Security (SOSS) vor. Daraus geht hervor, dass die Mehrzahl der Anwendungen mindestens eine Sicherheitslücke beinhaltet und dass es in der Regel mehrere Monate dauert, diese zu beheben. 

  • Die neue Veracode State of Software Security Studie hat ergeben: Hälfte der Sicherheitslücken auch 6 Monate nach Entdeckung noch offen
  • Bei Anwendungen mit technischen Schulden dauert Behebung doppelt so lange

Die diesjährige Analyse von 130.000 Anwendungen ergab, dass es etwa sechs Monate dauert, bis die zuständigen Teams die Hälfte der gefundenen Sicherheitslücken beheben können.

Anzeige

Der Report enthüllt auch einige Best Practices, die dabei helfen, die Fix Rates signifikant zu verbessern. Veracode unterscheidet zwischen Faktoren, über die die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien „Nature“ und „Nurture“ ein. Im Bereich „Nature“ finden sich Parameter wie der Umfang einer Anwendung oder die Unternehmensgröße und Sicherheitsverschuldung. „Nurture“ umfasst hingegen Einflussgrößen wie Scan-Häufigkeit und – Rhythmus sowie API-Scanning.​

Behebung von Sicherheitslücken: „Nature“ oder „Nurture“?

Die SOSS 11 Studie zeigt auf, dass moderne DevSecOps-Praktiken zu höheren Fehlerbehebungsraten führen. Die Verwendung mehrerer Anwendungssicherheits-Scan-Typen, die Arbeit mit kleineren oder moderneren Anwendungen und die Einbettung von Sicherheitstests in die Pipeline über eine API tragen alle dazu bei, die Zeit zur Behebung von Schwachstellen zu verkürzen, selbst bei Anwendungen mit ungünstigen Voraussetzungen auf der „Nature“-Seite.

„Das Ziel der Software Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, sagt Chris Eng, Chief Research Officer bei Veracode. „Selbst wenn sie mit den anspruchsvollsten Umgebungen konfrontiert werden, können Entwickler mit der richtigen Schulung und den richtigen Tools spezifische Maßnahmen ergreifen, um die Gesamtsicherheit einer Anwendung zu verbessern.“

Die wichtigsten Ergebnisse der SOSS 11 Studie im Überblick:

  • Fehlerhafte Anwendungen sind die Norm: 76 Prozent der Anwendungen weisen mindestens eine Sicherheitslücke auf, aber nur 24 Prozent haben schwerwiegende Mängel. Dies ist ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme haben, die ernsthafte Risiken für die Anwendung darstellen. Häufiges Scannen kann die Zeit, die benötigt wird, um die Hälfte der gefundenen Lücken zu schließen, um mehr als drei Wochen verkürzen.
     
  • Open-Source-Schwachstellen nehmen zu: 70 Prozent der Anwendungen übernehmen mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken. 30 Prozent der Anwendungen weisen sogar mehr Mängel in ihren Open-Source-Bibliotheken auf als in intern geschriebenem Code. Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt.
     
  • Mehrere Scan-Typen beweisen die Wirksamkeit von DevSecOps: Teams, die eine Kombination von Scan-Typen einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) verwenden, verbessern die Fix Rates. Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller.
     
  • Automatisierung ist wichtig: Unternehmen, die das Security Testing im SDLC automatisieren, können die Hälfte der Schwachstellen 17,5 Tage schneller adressieren als jene, die weniger automatisiert testen.
     
  • Sicherheitsverschuldung reduzieren ist entscheidend: Der Zusammenhang zwischen häufigem Scannen von Anwendungen und schnelleren Korrekturzeiten wurde im vorherigen State of Software Security Report dargestellt. Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt. Veracode stellt in der diesjährigen Studie außerdem fest, dass bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen. 
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Über die State of Software Security Studie:

Die Studie „State of Software Security (SOSS) 11“ von Veracode ist ein umfassender Überblick über die Daten der Anwendungssicherheitstests von Scans von mehr als 130.000 aktiven Anwendungen, die innerhalb von Veracodes Kundenstamm von mehr als 2.500 Unternehmen durchgeführt wurden. Es handelt sich dabei um den branchenweit umfassendsten Satz von Anwendungssicherheits-Benchmarks. Veracode hat mit Data Scientists des Cyentia-Instituts zusammengearbeitet, um neue Bedrohungen besser zu visualisieren und zu verstehen und um herauszufinden, wie Entwickler Anwendungen besser und sicherer machen können.

www.veracode.com
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.