Studie: Zeitfenster, um auf Schwachstellen zu reagieren, schrumpft rapide

Sonatype hat die vierte Auflage des jährlichen "State of the Software Supply Chain Report" veröffentlicht. Aus der Studie geht hervor, dass Softwareentwickler in den vergangene zwölf Monaten mehr als 300 Milliarden Open-Source-Komponenten heruntergeladen haben und eine von acht dieser Komponenten bekannte Sicherheitslücken enthielt.

Der 37-seitige Benchmark-Bericht enthält eine Kombination aus öffentlichen und proprietären Daten, anhand derer Muster und Vorgehensweisen untersucht wurden, die Softwarelieferketten und der Entwicklung von Open-Source-Software zugrunde liegen. Der diesjährige Report hebt neue Methoden hervor, mit denen Cyberkriminelle Software Supply Chains infiltrieren. Er bietet zudem Analysen über Sprachen und Ökosysteme hinweg und untersucht, wie sich gesetzliche Vorgaben auf die Zukunft der Softwareentwicklung auswirken können.

DevOps und Open Source helfen

Automatisierte und quelloffene Softwaresicherheitsverfahren reduzieren das Auftreten von Sicherheitslücken offenbar um 50 Prozent. Die Wahrscheinlichkeit, dass DevOps-Teams eine Open-Source-Governance einhalten, ist außerdem bei der Automatisierung von Sicherheitsrichtlinien um 90 Prozent höher. In den letzten zehn Jahren hat sich die Zeit vom Bekanntwerden bis zur Ausnutzung eines Sicherheitsproblems bei Open-Source-Software um 400 Prozent von durchschnittlich 45 auf nur noch drei Tage verringert.

Sonatype hat identifiziert, dass es für 1,3 Millionen Schwachstellen in Open-Source-Komponenten keine entsprechenden CVE-Sicherheitshinweise (Common Vulnerabilities and Exposures) in der öffentlichen National Vulnerability Database (NVD) gibt. 62 Prozent der Unternehmen geben an, keine wirksame Kontrolle darüber zu haben, welche quelloffenen Komponenten in ihren Anwendungen verwendet werden. (ane)