Code anderer Hersteller oftmals Ursache für Lücken in eigener Software

In eigener Software verwendete Codebestandteile oder Bibliotheken anderer Hersteller sind eine der häufigsten Ursachen für Sicherheitslücken. Das will der auf Code-Audits spezialisierte Sicherheitsdienstleister Veracode in einer Untersuchung herausgefunden haben. Überraschend ist dies nicht, wie zuletzt die Lücken im Framework ASP.NET und der freien Bibliothek bzip2 zeigten. Überraschend ist aber, dass die Software von Drittherstellern im Schnitt offenbar unsicherer ist als die selbst entwickelte.

Veracode bietet Cloud-gestützte automatisierte Analysen von Software an. Laut Untersuchung wiesen 81 Prozent der zur Prüfung eingereichten Software von Drittherstellern Sicherheitsmängel auf, während die Eigenentwicklungen nur in 57 Prozent der rund 2900 untersuchten Fälle bemängelt wurde.

Je nach verwendeter Programmiersprache respektive Plattform häufen sich bestimmte Fehler: Bei Java (46 Prozent) und .NET (66 Prozent) führen Cross-Site-Scripting-Lücke die Liste der häufigsten Fehler an. Bei C/C++ sind immer noch Buffer Overflows die häufigste Ursache für Lücken. Kryptografischen Probleme stehen bei .NET an zweiter Stelle (13 %), bei Java (7 %) immerhin noch an vierter Stelle und bei C/C++ an sechster Stelle (3 %).

Vier von fünf Anwendungen haben laut Untersuchung die Anforderung der Top-10-Liste des Open Web Application Security Project (OWASP) nicht erfüllt. Insbesondere die Software von Banken, Versicherungen und Finanzdienstleistern war laut Veracode nicht dem bei dortigen Transaktionen zu erwartetenden Schutz angemessen. Im Vergleich zu vorhergehenden Erhebungen patchen Entwickler Lücken nun aber schneller: in 16 statt 30 Tagen. (dab)