Studie: Webentwickler testen zu wenig auf Sicherheitsfehler
Laut dem "The Software Security Risk Report" des Softwareherstellers Coverity testen nur wenige Webunternehmen während der Entwicklung, viele verzichten auf Fehlerprüfungen vor den Integrationstests.
- Alexander Neumann
Der Softwarehersteller Coverity berichtet in seinem "Software Security Risk Report", dass nur etwa zwei Fünftel der Unternehmen aus der Webentwicklungsbranche während der Entwicklung testen und mehr als die Hälfte der für die Studie Befragten darauf verzichtet, ihren Code vor den Integrationstests auf Fehler und Schwachstellen zu überprüfen. Daher komme es auch deswegen häufiger zu Sicherheitsvorfällen mit Webanwendungen, das verursache außerdem höhere Kosten.
Der US-amerikanische Softwarehersteller im Bereich der Qualitätssicherung hatte die gegen Registrierung erhältliche Studie zur Anwendungssicherheit und zum Testen bei Forrester Consulting in Auftrag gegeben. Die Analysten befragten dafür in diesen Juli 240 Entscheider aus der Softwareentwicklung von europäischen und nordamerikanischen Unternehmen der Webentwicklungsbranche.
Über 70 Prozent der Befragten, die schon einmal Sicherheitsvorfälle aufzuweisen hatten, beklagten mangelnde Sicherheitstechniken für ihre Entwickler. Zudem fehle es an der Skalierbarkeit und am Budget, denn die Security-Prozesse könnten laut der großen Mehrheit (79 Prozent) nicht mit der wachsenden Codemenge Schritt halten, während mehr als zwei Drittel zu wenig Geld für die Sicherheit zur Verfügung habe. 41 Prozent sieht sich zudem durch kurze Produkteinführungszeiten gezwungen, während der Entwicklung die Sicherheit hintenanzustellen. Nur 42 Prozent verfolgen Richtlinien für die sichere Codierung und weniger als ein Drittel dokumentiert erlaubte und verbotene Funktionen in einer Bibliothek. Nur rund ein Viertel setzt sogenannte Bedrohungsmodelle in der Entwicklung ein.
Etwas mehr als die Hälfte der Befragten musste offenbar in den vergangenen anderthalb Jahren mindestens ein Sicherheitsleck beklagen. Dabei schätzten 18 Prozent ihre Schäden auf mehr als 500.000 US-Dollar, weitere 8 Prozent veranschlagten diese sogar auf mehr als eine Million.
Auf die Frage nach den drei größten Herausforderungen im Umgang mit Security-Werkzeugen für Webanwendungen zählten die Entwickler eine schlechte Integration mit ihren Entwicklungsumgebungen, zu viel erforderliches Know-how im Bereich Security und die große Anzahl von False Positives auf. Einige der Security-Experten stimmten beispielsweise der Auffassung zu, dass die Integration der Werkzeuge eine der primären Herausforderungen sei. Jedoch meinte keiner, dass Sicherheitstools zu komplex seien oder zu viel Fachkompetenz verlangten. (ane)
