State of Software Security Report: DevSecOps bietet mehr Sicherheit und Effizienz

Organisationen in Europa hinken bei der Behebung offener Schwachstellen hinterher. Unternehmen mit DevSecOps-Praktiken beheben Fehler deutlich schneller.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
State of Software Security Report: DevSecOps bietet mehr Sicherheit und Effizienz
Lesezeit: 4 Min.
Von
  • Alexander Neumann
Inhaltsverzeichnis

Die neunte Auflage von Veracodes Bericht "State of Software Security“ (SoSS) kommt zum Ergebnis, dass DevSecOps mehr Sicherheit und Effizienz für Unternehmen bieten kann. Die Daten des auf Application Security spezialisierten Anbieters zeigen offenbar, dass Unternehmen, die DevSecOps-Programmen und -Praktiken nutzen, ihre Kollegen bei der Behebung von Schwachstellen deutlich übertreffen. Die aktivsten DevSecOps-Programme beheben Schwachstellen wohl mehr als 11,5-mal schneller als das typische Unternehmen, was auf laufende Sicherheitskontrollen während der kontinuierlichen Bereitstellung von Software-Builds zurückzuführen ist, die größtenteils das Ergebnis eines verstärkten Code-Scans sind.

In jeder untersuchten Branche haben Unternehmen anscheinend mit sehr vielen offenen Schwachstellen zu kämpfen. Neue Maßnahmen dagegen zeigen aber wohl erste positive Entwicklungen. Dem Bericht zufolge wurden 69 Prozent der entdeckten Mängel bereinigt, ein Anstieg von fast 12 Prozent gegenüber dem vergleichbaren Bericht vor einem Jahr. Das zeige, dass Unternehmen zunehmend leistungsfähiger würden, neu entdeckte Schwachstellen zu schließen, die von Hackern ausgenutzt werden könnten.

Einige Verbesserungen lassen sich ganz konkret auf der Java-Seite erkennen. Während im vergangenen Jahr etwa 88 Prozent der Java-Anwendungen mindestens eine Schwachstelle in einer Komponente hatten, sank sie im aktuellen Bericht auf etwas mehr als 77 Prozent.

Die Untersuchung verdeutlicht aber auch, dass Unternehmen aufgrund anhaltender Schwachstellen mit einem erhöhten Anwendungsrisiko konfrontiert sind. Mehr als 70 Prozent aller Schwachstellen blieben einen Monat nach der Entdeckung und fast 55 Prozent drei Monate nach der Entdeckung bestehen. Ein Viertel der Schwachstellen mit hohem und sehr hohem Schweregrad wurden offenbar nicht innerhalb von 290 Tagen nach der Entdeckung behoben. Insgesamt wurden 25 Prozent der Schwachstellen innerhalb von 21 Tagen behoben, während 25 Prozent sogar gut ein Jahr nach der Entdeckung bestehen blieben.

Trotz der eingangs erwähnten Fortschritte durch beispielsweise DevSecOps zeigt der neue SoSS-Bericht, dass die Zahl der anfälligen Apps nach wie vor erstaunlich hoch ist und Open-Source-Komponenten weiterhin erhebliche Risiken für Unternehmen darstellen. Mehr als 85 Prozent aller Anwendungen enthalten mindestens eine Schwachstelle bereits nach der ersten Überprüfung, und mehr als 13 Prozent der Anwendungen umfassen mindestens eine sehr schwerwiegende Schwachstelle. Darüber hinaus zeigen die Scan-Ergebnisse von Unternehmen, dass jede dritte Anwendung anfällig für Angriffe durch Schwachstellen mit hohem oder sehr hohem Schweregrad war.

In Europa besteht dem Bericht zufolge noch einiges an Nachholbedarf, da die meisten untersuchten Unternehmen dieser Region bei der Behebung von Schwachstellen in ihrer Software offenbar recht schlecht abschnitten. Tatsächlich dauerte es mehr als doppelt so lange im EMEA-Raum (Europa und Mittlerer Osten), bis drei Viertel ihrer offenen Schwachstellen geschlossen wurden. Besorgniserregend ist, dass 25 Prozent der Schwachstellen in diesen Organisationen mehr als zweieinhalb Jahre nach der Entdeckung immer noch bestehen blieben.

Unternehmen im asiatisch-pazifischen Raum (APAC) sind hingegen am schnellsten und beheben 25 Prozent ihrer Schwachstellen in etwa acht Tagen, gefolgt von 22 Tagen für Amerika und 28 Tagen für EMEA. Die Unternehmen in Nord- und Südamerika haben im Vergleich zu den Vorjahren wohl aufgeholt und behoben 75 Prozent der Schwachstellen in 413 Tagen, weit vor APAC und EMEA.

Zur Datenanalyse verwendeten Veracode und die Datenwissenschaftler des Cyentia Institute Statistiken aus einem zwölfmonatigen Musterfenster. Die Daten repräsentieren mehr als 700.000 Antragsbewertungen, die im Zeitraum vom 1. April 2017 bis zum 31. März 2018 zur Analyse eingereicht wurden. Die Daten repräsentieren große und kleine Unternehmen, kommerzielle Softwareanbieter, Open-Source-Projekte und Software-Outsourcer. In den meisten Analysen wurde eine Anwendung nur einmal gezählt, auch wenn sie mehrfach eingereicht wurde, da Schwachstellen behoben und neue Versionen hochgeladen wurden.

Der Bericht enthält Ergebnisse über Anwendungen, die einer statischen Analyse, dynamischen Analyse, Software-Zusammensetzungsanalyse und/oder manuellen Penetrationstests über die Cloud-Plattform von Veracode unterzogen wurden. Der Bericht berücksichtigt Daten, die von Veracode-Kunden zur Verfügung gestellt wurden, und Informationen, die im Zuge der Analyse berechnet oder abgeleitet wurden.

Siehe dazu auf heise Developer:

(ane)