Veracode-Report: Open-Source-Komponenten erhöhen Risiken drastisch

Die Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit („State of Software Security“/SoSS) hervor, den Veracode zum siebten Mal zusammengestellt hat. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden. Insgesamt zeigt sich, dass der zunehmende Fokus auf digitale Risiken auf der Anwendungsebene und die Integration von Sicherheitsaspekten in DevOps-Prozesse (DevSecOps) zur Senkung des Risikos beitragen können, ohne die Software-Entwicklung zu verlangsamen.

97 Prozent der Java-Anwendungen enthalten unsichere Komponenten

Die Analyse von Veracode ergab, dass anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. So wirkte sich eine einzige populäre Komponente mit einer kritischen Sicherheitslücke auf mehr als 80.000 andere Software-Komponenten aus, die dann wiederum in der Entwicklung von Millionen Software-Programmen zum Einsatz kamen. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.

Top 10 der Schwachstellen - Risiken beim Einsatz von Open-Source- und Third-Party- Komponenten steigen rasant
Top 10 der Schwachstellen – Risiken beim Einsatz von Open-Source- und
Third-Party- Komponenten steigen rasant

„Die weit verbreitete Nutzung von Open-Source-Komponenten in der Software-Entwicklung ist verantwortlich für unkontrollierbare systemische Risiken in Unternehmen und Branchen“, erläutert Julian Totzek-Hallhuber, Solutions Architect bei Veracode. „Heute kann sich ein Cyberkrimineller auf eine einzige Schwachstelle in einer Komponente konzentrieren, um Millionen von Anwendungen zu schädigen. Alle Branchen und Software sind in hohem Maß von Anwendungen abhängig. Diese Leichtigkeit, mit der Millionen von Anwendungen verletzt werden können, kann daher unsere digitale Infrastruktur und Wirtschaft nachhaltig schädigen.“

60 Prozent der Anwendungen verfehlen Sicherheitsrichtlinien beim ersten Scan

Der Bericht von Veracode hebt weitere Herausforderungen in der Software-Entwicklung hervor. Zum Beispiel konnten 60 Prozent der Anwendungen beim ersten Scan grundlegende Sicherheitsanforderungen nicht erfüllen. Allerdings stellt der Bericht fest, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen effektiver beseitigen können. Die Studie zeigt, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen. Darüber hinaus können Best Practices wie Remediation Coaching und eLearning die Fix Rates um das bis zu Sechsfache verbessern. Und Entwickler, die ihre Anwendungen in einer Developer Sandbox getestet haben, verbessern die richtlinienbasierten Fix Rates um etwa das Zweifache.

DevOps etablieren sich

„Kontinuierliche Entwicklungs- und Implementierungsmodelle, wie in den DevOps-Umgebungen, können mit regelmäßigen Anwendungstests zur sicheren Entwicklung beitragen“, erläutert Nabil Bousselham, Solutions Architect bei Veracode. „Unsere Plattform-Daten zeigen, dass immer mehr Unternehmen Anwendungen während der Entwicklung mehrfach testen. Die durchschnittliche Anzahl der Sicherheitstests pro App lag bei sieben und einige Anwendungen wurden im Zeitraum von 18 Monaten 700-800 Mal gescannt. Diese Ergebnisse ermutigen uns, weil sie zeigen, dass Unternehmen das Thema Sicherheit tiefer in ihre Software-Entwicklungsprozesse einbetten.“

Der jährliche SoSS-Report von Veracode untersucht auch die Prävalenz von anfälligen Open-Source-Komponenten in Anwendungen verglichen mit Branchentrends zum Beheben und Erkennen von Schwachstellen. Thema sind außerdem Sicherheits-Trends, wie die Zunahme von DevOps-Umgebungen, die sich in mehrmaligen täglichen Scans von Apps und durchschnittlich sieben Sicherheitstests pro App niederschlagen.

Der vollständigen Bericht ist verfügbar unter: https://www.veracode.com/soss

Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter