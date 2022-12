Der Sektor ist jedoch führend bei der raschen Behebung aufgedeckter Mängel

Veracode, ein führender globaler Anbieter modernster Lösungen zum Testen der Anwendungssicherheit, gab heute bekannt, dass 24 Prozent der Anwendungen im Technologiesektor Sicherheitslücken aufweisen, die als hoch riskant eingestuft werden das heißt, sie würden bei Ausnutzung ein kritisches Problem für die Anwendung darstellen. Da der Anteil der Anwendungen mit Sicherheitslücken vermutlich höher ist als in anderen Branchen, wären Tech-Firmen gut beraten, ihren Entwicklungsteams eine bessere Ausbildung in sicherer Kodierung und entsprechende Verfahren zu vermitteln.

Chris Eng, Chief Research Officer bei Veracode, sagte: "Wenn Entwickler in der Praxis Erfahrungen dahingehend sammeln, was nötig ist, um eine Schwachstelle im Code zu erkennen und auszunutzen und wie die potenziellen Auswirkungen auf die Anwendung aussehen -, erhalten sie den Kontext und das Verständnis, um ein Gespür für Software-Sicherheit zu entwickeln. Unsere Studie ergab, dass Unternehmen, deren Entwickler nur eine Lektion in unserem praktischen Security Labs-Schulungsprogramm absolviert hatten, 50 Prozent der Schwachstellen zwei Monate schneller behoben haben als Unternehmen ohne eine solche Schulung."

Die Daten wurden im jährlichen State of Software Security (SoSS) Report V12 von Veracode veröffentlicht, in dem 20 Millionen Scans von einer halben Million Anwendungen aus den Bereichen Technologie, Einzelhandel, Fertigungsindustrie, Gesundheitswesen, Finanzdienstleistungen und Behörden analysiert wurden. Insgesamt wurde festgestellt, dass die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitsmängeln aufweist und damit nur geringfügig besser abschneidet als der öffentliche Sektor mit 82 Prozent. Was den Anteil der behobenen Fehler betrifft, liegt der Technologiesektor im Mittelfeld.

Technologieunternehmen beheben Software-Sicherheitslücken vergleichsweise schnell

Ermutigend ist, dass Technologieunternehmen, die tatsächlich Schwachstellen in ihren Anwendungen aufdecken, vergleichsweise schnell auf halbem Weg zu deren Behebung sind. Der Sektor rühmt sich in der Tat mit branchenführenden Behebungszeiten für Schwachstellen, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden. Dies ist zwar eine lobenswerte Leistung, aber die Branche benötigt noch immer bis zu 363 Tage, um 50 Prozent der Mängel zu beheben, was zeigt, dass es noch viel Raum für Verbesserungen gibt.

Eng erklärte weiter: "Log4j war für viele Unternehmen im vergangenen Dezember ein Weckruf. Es folgten Maßnahmen der Regierung in Form von Leitlinien des Office of Management and Budget (OMB) und des European Cyber Resilience Act, die beide auf die Lieferkette ausgerichtet sind. Um die Performance im kommenden Jahr zu verbessern, sollten Technologieunternehmen nicht nur Strategien in Betracht ziehen, die Entwicklern dabei helfen, die Rate der in den Code eingebrachten Fehler zu reduzieren, sondern auch einen stärkeren Fokus auf die Automatisierung von Sicherheitstests in der Continuous Integration/Continuous Delivery (CI/CD)-Pipeline legen, um die Effizienz zu steigern."

Serverkonfigurationen, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Arten von Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen dem Muster in anderen Branchen ähnelt. Bei kryptografischen Problemen und Informationslecks hingegen weist der Sektor die größte Abweichung vom Branchendurchschnitt auf. Dies könnte ein Indiz dafür sein, dass die Entwickler in der Tech-Branche besser mit den Herausforderungen des Datenschutzes vertraut sind.

Der Veracode State of Software Security v12 Technologie-Snapshot steht zum Download hier bereit, und der vollständige Bericht ist hier verfügbar.

Über den State of Software Security Report

Im Veracode State of Software Security (SoSS) V12 wurden die vollständigen historischen Daten über Veracode-Dienste und -Kunden analysiert. Dies entspricht insgesamt mehr als einer halben Million Anwendungen (592.720), die alle Scan-Typen verwendeten, mehr als einer Million dynamischer Analyse-Scans (1.034.855), mehr als fünf Millionen statischer Analyse-Scans (5.137.882) und mehr als 18 Millionen Software Composition Analysis-Scans (18.473.203). All diese Scans ergaben 42 Millionen statische Ergebnisse, 3,5 Millionen dynamische Ergebnisse und sechs Millionen SCA-Rohdaten-Ergebnisse.

Die Daten stammen von großen und kleinen Unternehmen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, selbst wenn mehrfach übermittelt wurde, dass Schwachstellen behoben und neue Versionen hochgeladen wurden.

