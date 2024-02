Mehr als 70 der Unternehmen kämpfen mit Softwarefehlern, bei fast 50 sind diese "kritisch".

Der Bericht 'State of Software Security 2024' nennt extern erstellten Code als wichtigste Fehlerquelle, wobei Zweidrittel der kritischen Schwachstellen aus Open-Source-Bibliotheken stammen.

Die Behebung von extern verursachten Fehlern benötigt 50 mehr Zeit, aber die schnellsten Entwicklerteams können kritische Softwareschwachstellen 4x so schnell beheben.

Veracode ein global führendes Unternehmen für die Sicherheit von intelligenter Software, hat heute den jährlichen Bericht State of Software Security (SoSS) 2024 vorgelegt. Er wirft ein Licht auf das drängende Problem von Schwachstellen in Anwendungen. Diese werden definiert als Fehler, die länger als ein Jahr bestehen bleiben. Sie sind in 42 Prozent von Anwendungen zu finden und bei 71 Prozent der untersuchten Unternehmen. Besorgniserregend ist, dass 46 Prozent der Unternehmen dauerhaft ernste Schwachstellen aufweisen, die als 'kritisch' einzustufen sind. Dies führt zu hohen Risiken im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit.

Gemäß dem Bericht weisen fast 63 Prozent der Anwendungen Fehler im selbst erstellten Code auf, während 70 Prozent Schwachstellen aufgrund von extern erstelltem Code beinhalten, der über Bibliotheken von Drittparteien importiert wurde. Das zeigt, wie wichtig es ist, beide Typen während des Softwareentwicklungszyklus zu testen. Die Zeit für die Fehlerbehebung variiert ebenfalls: Die Reparatur von Drittpartei-Fehlern dauert 50 Prozent länger, wobei die Hälfte der bekannten Schwachstellen nach 11 Monaten behoben ist, bei eigenen Fehlern sind es lediglich sieben Monate.

Es gibt aber auch gute Nachrichten: Seit 2016 ist die Anzahl von hochriskanten Sicherheitsfehlern in Anwendungen um die Hälfte gesunken, was einen Fortschritt bei Sicherheitspraktiken für Software zeigt. Darüber hinaus hat die Schnelligkeit der Reparatur einen hohen Einfluss auf kritische Sicherheitsmängel.

SoSS 2024 deckt auf, dass Entwicklungsteams, die Fehler sehr schnell beheben, die Gefahren durch kritische Sicherheitsmängel um 75 Prozent senken-von 22,4 Prozent der Anwendungen auf nur etwas mehr als fünf Prozent. Und bei diesen schnellen Teams ist die Wahrscheinlichkeit, dass derartige Fehler überhaupt auftreten von vornherein viermal niedriger.

Chris Eng, Chief Research Officer bei Veracode, sagte: "Obwohl wir Verbesserungen im Hinblick auf die Sicherheit festgestellt haben, sind die Ergebnisse ein Weckruf an Unternehmen, sich mit ihren Sicherheitsschwachstellen zu befassen. Durch die Behebung der Mängel, eine Fokussierung auf die Sicherheit von extern erstelltem Code und effiziente Entwicklungspraktiken können die Risiken erheblich gesenkt und der Status von Software im Allgemeinen verbessert werden."

KI und die Software-Lieferkette

In einer Ära, in der KI (künstliche Intelligenz) die Entwicklung von Software schnell revolutioniert, legt der Bericht einen besorgniserregenden Trend offen. Chris sagte: "Trotz der Schnelligkeit und Effizienz, mit der KI Software entwickelt, produziert sie dennoch nicht unbedingt sicheren Code. Forschungen beweisen, dass 36 Prozent des durch GitHub CoPilot generierten Codes fehlerhaft ist." Diese massenhafte Bereitstellung von unsicherem Code stellt für Unternehmen und die Software-Lieferkette ein hohes Risiko dar, denn so werden Schwachstellen im Laufe der Zeit akkumuliert.

Risken im Blick halten

Veracode's Untersuchungen ergeben, dass Teams nicht genügend Kapazitäten für die Behebung von Schwachstellen haben. Nur 64 Prozent der Anwendungen verfügen über eine Kapazität, die ausreicht, um kritische Mängel zu beheben. Nur zwei von zehn Anwendungen weisen eine durchschnittliche monatliche Reparaturquote auf, die zehn Prozent aller Schwachstellen übersteigt. Daraus kann gefolgert werden, dass für Teams selbst bei ausreichender Kapazität die Behebung von Fehlern nicht höchste Priorität hat.

Dennoch besteht Hoffnung auf Erfolg. Nur drei Prozent aller Mängel sind als so kritisch einzustufen, dass sie für die Anwendung extrem hohe Risiken bedeuten. Wenn Unternehmen sich auf diese Teilmenge konzentrieren, können sie fokussiert die Risiken verringern.

Chris meinte abschließend: "KI eröffnet in der Softwareentwicklung eine neue Ära. Einerseits können Unternehmen die Behebung von Mängeln skalieren, wodurch mehr Schwachstellen behoben werden können. Aber andererseits entstehen neue Fehler. Die meisten CWEs (Common Weakness Enumeration) mit mittlerem bis hohen Risikograd lassen sich durch KI-generierte Code Edits von Veracode Fix beheben."

Die Gesamtausgabe des Berichts 'State of Software Security 2024' steht für den Download bereit auf der Veracode Website. Um Zugriff auf den Bericht zu nehmen und tiefere Einblicke in die Erkenntnisse und Empfehlungen zu erhalten, besuchen Sie die Website. Ein Blog mit den wichtigsten Ergebnissen des Berichts ist auch vorhanden.

Über den State of Software Security Report

Der Veracode Bericht 'State of Software Security 2024' analysiert Daten von kleinen und großen Unternehmen, geschäftlichen Software-Anbietern, Software-Outsourcern und Open-Source-Projekten. Die Forschung basiert auf mehr als eine Million (1.007.133) Anwendungen aller Scan-Typen, 1.553.022 dynamischen Analysescans und 11.429.365 statischen Analysescans. All diese Scans erbrachten 96 Millionen statische Rohbefunde, 4 Millionen dynamische Rohbefunde und 12,2 Millionen Rohbefunde über die Zusammensetzung von Software.

Über Veracode

Veracode ist intelligente Softwaresicherheit. Die Veracode Software Security Plattform deckt in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Mängel und Schwachstellen auf. Gestützt auf eine leistungsstarke KI, die auf einem sorgfältig kuratierten, vertrauenswürdigen Datensatz aus der Analyse von Billionen von Codezeilen trainiert wurde, sind Veracode-Kunden dazu in der Lage, Fehler schneller und präziser zu beheben. Veracode genießt das Vertrauen von Sicherheitsteams, Entwicklern und Topmanagern von Tausenden führenden globalen Unternehmen und ist der Pionier, der die Bedeutung von intelligenter Softwaresicherheit ständig neu definiert.

