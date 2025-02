Die Behebung von Sicherheitslücken dauert jetzt 8,5 Monate 47 Prozent länger als vor fünf Jahren

Die 15. Ausgabe der jährlichen Studie zum Status der Softwaresicherheit stellt fünf Schlüsselmetriken zur Bewertung der Sicherheitsreife vor

Veracode, ein weltweit führendes Unternehmen im Bereich Application Risk Management, stellt heute die 15. Ausgabe seines State of Software-Security-Reports vor. Der Bericht, der auf einem umfangreichen Datensatz von 1,3 Millionen einzelnen Anwendungen und 126,4 Millionen Rohdaten basiert, hebt wichtige Trends hervor. Er eröffnet einen neuen Blick auf den Reifegrad von Softwaresicherheit, um das Risikomanagement von Anwendungen zu verbessern.

Prozentsatz von Sicherheitsschuld in Unternehmen

Die Studie zeigt einen alarmierenden Anstieg der durchschnittlichen Behebungszeit für Sicherheitslücken in Software von 171 Tagen auf 252 Tage in den letzten fünf Jahren und um 327 Prozent seit der ersten Ausgabe des Berichts vor 15 Jahren.

Darüber hinaus haben 50 Prozent der Unternehmen mittlerweile kritische Sicherheitsschulden, die als angesammelte Schwachstellen definiert sind, die länger als ein Jahr unbehoben bleiben. Die meisten dieser Schwachstellen stammen aus dem Code von Drittanbietern und der Software-Lieferkette. Ungelöste Sicherheitsmängel machen Unternehmen angreifbar und setzen sie finanziellen, betrieblichen und Reputations-Schäden aus.

Chris Wysopal, Chief Security Evangelist bei Veracode, sagt: "Die Angriffsfläche ist zunehmend komplizierter geworden, insbesondere in den letzten Jahren mit der explosionsartigen Zunahme von KI-Technologie. Im letztjährigen Bericht wurde festgestellt, dass 46 Prozent der Unternehmen eine hochgradige Sicherheitsschuld haben. Auch wenn der Anstieg im Vergleich zum Vorjahr marginal erscheinen mag, geht er in die falsche Richtung. Unsere Untersuchungen liefern solide Beweise dafür, dass Unternehmen diese Schulden verringern können. Aber viele brauchen Hilfe, um Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten."

Benchmark der Sicherheitsleistungsfähigkeit

Die Untersuchung von Veracode analysierte auch die Verteilung der Sicherheitsschulden in Unternehmen. Während einige fast keine Sicherheitsschulden haben und andere darin ertrinken, liegen die meisten irgendwo dazwischen, mit einer Mischung aus 'schuldenfreien' und 'schuldbehafteten' Anwendungen.

"Die Kluft zwischen den besten 25 Prozent und den schlechtesten 25 Prozent der Unternehmen ist faszinierend", so Wysopal. "Die Ergebnisse werfen die Frage auf, welche Faktoren für die deutlichen Unterschiede im Umgang mit Sicherheitsschulden in Software verantwortlich sind und was die Entwickler- und Sicherheitsteams tun können, um sie zu beseitigen."

Die Untersuchung von Veracode zeigt fünf Schlüsselkennzahlen auf, die den Reifegrad von Software-Sicherheit anzeigen und die Fähigkeit eines Unternehmens zur systematischen Risikominderung vorhersagen: Häufigkeit von Schwachstellen, Behebungskapazität, Behebungsgeschwindigkeit, Häufigkeit von Sicherheitsschulden und Open-Source-Schulden.

Der Bericht erläutert die Bedeutung jeder Kennzahl und zeigt die Parameter auf, die bestimmen, ob ein Unternehmen in Sachen Softwaresicherheit gut oder schlecht aufgestellt ist.

Fehlerhäufigkeit: Gut aufgestellte Unternehmen weisen in weniger als 43 Prozent der Anwendungen Fehler auf, während Unternehmen mit Rückstand bei über 86 Prozent liegen.

Gut aufgestellte Unternehmen weisen in weniger als 43 Prozent der Anwendungen Fehler auf, während Unternehmen mit Rückstand bei über 86 Prozent liegen. Behebungskapazität: Führende Unternehmen beheben monatlich mehr als 10 Prozent der Schwachstellen. Nachzügler beheben weniger als 1 Prozent.

Führende Unternehmen beheben monatlich mehr als 10 Prozent der Schwachstellen. Nachzügler beheben weniger als 1 Prozent. Behebungsgeschwindigkeit: Leistungsstarke Unternehmen beheben die Hälfte der Schwachstellen innerhalb von fünf Wochen. Leistungsschwächere Unternehmen hingegen benötigen länger als ein Jahr.

Leistungsstarke Unternehmen beheben die Hälfte der Schwachstellen innerhalb von fünf Wochen. Leistungsschwächere Unternehmen hingegen benötigen länger als ein Jahr. Häufigkeit von Sicherheitslücken: Weniger als 17 Prozent der Anwendungen in gut aufgestellten Unternehmen weisen Sicherheitsmängel auf, Unternehmen mit Rückstand mehr als 67 Prozent.

Weniger als 17 Prozent der Anwendungen in gut aufgestellten Unternehmen weisen Sicherheitsmängel auf, Unternehmen mit Rückstand mehr als 67 Prozent. Open-Source-Schulden: Führende Unternehmen halten den Anteil der kritischen Open-Source-Schulden unter 15 Prozent, während in schlecht aufgestellten Unternehmen 100 Prozent der kritischen Schulden Open-Source-Schulden sind.

Wysopal meint: "Die Studie gibt Unternehmen einen hilfreichen Rahmen, um die Sicherheitsreife ihrer Anwendungen zu bewerten. So können sie die spezifischen Faktoren verstehen, die zu Sicherheitsschulden in ihrer Software beitragen, die Bedeutung jeder einzelnen Kennzahl einschätzen und ihre eigene Leistung mit der ähnlicher Organisationen vergleichen. Außerdem geben unsere Experten und führende Unternehmen Empfehlungen, wie sie sich verbessern können."

Cyber-Regulierung fördert positiven Umgang und erhöht die Anwendungssicherheit

Positiv zu vermerken ist, dass die Zahl der Anwendungen, die die Top 10 des Open Worldwide Application Security Project (OWASP) bestehen, in den letzten fünf Jahren um 63 Prozent gestiegen ist und sich in 15 Jahren mehr als verdoppelt hat. Neue Cybersicherheitsregulierung von 2024 wie die U.S. Securities and Exchange Commission (SEC) Rules und der E.U. Cyber Resilience Act haben zu diesem Trend beigetragen. Denn Softwareanbieter verfolgen so einen disziplinierteren Ansatz beim Risikomanagement.

Eine neue Sichtweise der Sicherheitsreife

Die neue Sichtweise von Veracode auf den Reifegrad von Softwaresicherheit unterstreicht die Notwendigkeit für Unternehmen, einen strategischen, kontextbezogenen Ansatz zu verfolgen, um die dringendsten Risiken zu bewältigen. Der Bericht empfiehlt den Unternehmen zwei Hauptschwerpunkte: Erstens müssen Unternehmen die Transparenz und Integration über den gesamten Lebenszyklus der Softwareentwicklung hinweg verbessern, indem sie Automatisierungs- und Feedbackschleifen nutzen, um neue Sicherheitslücken zu vermeiden. Zweitens sollten sie die Korrelation und Kontextualisierung von Sicherheitsergebnissen in einer einzigen Ansicht priorisieren, damit sie ihren Sicherheitsrückstand effizient abarbeiten und die größten Risiken mit dem geringsten Aufwand reduzieren können.

Wysopal fügt hinzu: "Tools wie Application Security Posture Management ermöglichen es Sicherheitsexperten und Entwicklungsteams, Prioritäten zu setzen und fundierte Entscheidungen zu treffen. Denn sie zeigen auf, welche Lücken ausnutzbar sind und was erreichbar sowie dringend ist."

Da sich Unternehmen in einer zunehmend komplexen Bedrohungslandschaft bewegen, ist die Priorisierung der Sicherheitsreife von entscheidender Bedeutung. Die Studie von Veracode gibt Unternehmen einen Fahrplan, um ihre Sicherheitslage zu bewerten und zu verbessern. Durch die Behebung von Sicherheitsmängeln und die Nutzung der besten Tools und Praktiken können Unternehmen ihre Widerstandsfähigkeit erhöhen, Risiken reduzieren und die sich entwickelnden Cybersicherheitsvorschriften einhalten.

Der vollständige Bericht "State of Software Security 2025" steht auf der Veracode-Website zum Download bereit. Außerdem fasst ein Blog die wichtigsten Ergebnisse des Berichts zusammen.

Über den State of Software Security Report

Der Veracode State of Software Security 2025 ist die 15. Ausgabe. Er analysiert Daten von Unternehmen aller Größen, kommerziellen Softwareanbietern, Software-Outsourcern und Open-Source-Projekten. Der Bericht enthält Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die cloudbasierte Plattform von Veracode unterzogen wurden. Im Einzelnen stammen die Daten von:

1,3 Mio. individuelle Anwendungen mit 126,4 Mio. Rohdaten

107,4 Mio. Ergebnisse, die über SAST-Scans identifiziert wurden

3,9 Mio. Erkenntnisse, die über DAST-Scans identifiziert wurden

15 Mio. Ergebnisse, die über die Software Composition Analyse ermittelt wurden.

Über Veracode

Veracode ist weltweit führend im Bereich Application Risk Management für die KI-Ära. Auf der Grundlage von Billionen von Code-Scans und einer KI-assistierten Remediation Engine vertrauen Unternehmen weltweit auf die Veracode-Plattform. Diese ermöglicht es, sichere Software von der Code-Erstellung bis zur Cloud-Bereitstellung zu entwickeln und zu pflegen. Tausende von weltweit führenden Entwicklungs- und Sicherheitsteams nutzen täglich Veracode, um präzise Einblicke in Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre "Sicherheitsschulden" in großem Umfang zu reduzieren. Veracode bietet zahlreiche Funktionen zur Absicherung des gesamten Lebenszyklus der Softwareentwicklung, darunter Veracode Fix, statische Analyse, dynamische Analyse, Analyse der Softwarezusammensetzung, Containersicherheit, Application Security Posture Management und Penetration Testing. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und X.

Urheberrecht 2025 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.

