Sinkendes Sicherheitsniveau und verschärfte Rahmenbedingungen belasten Developer
Der neue Snyk-Report zeigt: Wachsende Anforderungen und unzureichende Supply-Chain-Sicherheit ĂĽberfordern Teams. Dennoch sind OSS-Projekte im Vorteil.
(Bild: erstellt mit Dall-E durch iX)
- Robert Lippert
Der neue State of Open Source Security Report 2024 liegt vor und wirft einen besorgten Blick auf die aktuellen Trends im Bereich Software- und Supply-Chain-Security von Open-Source-Projekten.
Drei wesentliche Punkte identifiziert Herausgeber Snyk, Anbieter der gleichnamigen Developer-Security-Plattform, in seinem Dokument. Demnach geraten Teams durch steigende Sicherheitsanforderungen zunehmend unter Druck, was dazu führt, dass Sicherheitsmaßnahmen seltener umgesetzt werden. 52 Prozent der Teams schaffen es regelmäßig nicht, ihre SLA-Ziele (Service Level Agreement) zu erfüllen. Eine Kombination aus stagnierenden Sicherheitsmaßnahmen, fehlenden Ressourcen und wachsenden Anforderungen führt ferner zu einer Ermüdung in Sachen Anwendungssicherheit. Hier fehlt es nach Einschätzung von Snyk an nachhaltigeren Sicherheitspraktiken, um diesen Herausforderungen zu begegnen.
(Bild:Â The State of Open Source Security Report 2024, snyk.com)
Auch die Anfälligkeit für Supply-Chain-Angriffe steigt, da viele Unternehmen nur unzureichend auf die Absicherung ihrer Lieferketten vorbereitet sind. Hier mangelt es an der Umsetzung moderner Sicherheitspraktiken wie SBOM-Verifizierung, Artifact Signing und Pipeline-Schutz. So überwachen beispielsweise nur 62,4 Prozent der Unternehmen ihre SBOMs (Software Bill of Materials). Und die Abhängigkeit von veralteten Ansätzen erhöht die Angriffsfläche, insbesondere in Cloud-nativen Umgebungen.
Soweit es schließlich den Einsatz von künstlicher Intelligenz betrifft, befürchten die befragten Teams, sich zusätzliche Sicherheitslücken oder Lizenzprobleme einzuhandeln. Auch eine falsche Zuversicht in KI-generierten Code spielt eine Rolle.
Open-Source-Software kann ihre Stärken gegenüber proprietären Anwendungen weiter ausbauen
Der Report erkennt aber auch eine erfreuliche Entwicklung: Die Open-Source-Community hat deutliche Fortschritte bei der Behebung kritischer Schwachstellen gemacht und zeigt insgesamt eine höhere Reaktionsfähigkeit als proprietäre Softwareprojekte.
Für die Zukunft raten die Organisatoren der Umfrage dazu, präventive Sicherheitsmaßnahmen auszubauen und die Sicherheitsreife der Lieferketten zu verbessern, um zukünftigen Bedrohungen effizient zu begegnen. Hier geht es um grundlegende Sicherheitspraktiken, eine bessere Priorisierung im Schwachstellenmanagement, klare Richtlinien für die Validierung und das Testen von KI-generiertem Code, oder auch den Rat an Teams, sich auf nachhaltige Maßnahmen zu konzentrieren, um Burnout zu vermeiden.
Der Report beruft sich auf die Angaben von rund 450 Befragten aus dem Bereich Anwendungsentwicklung und Sicherheit, mit Sitz in den USA, Kanada und dem Vereinigten Königreich. Das 12-seitige Dokument steht gegen Registrierung zum Download zur Verfügung.
Lesen Sie auch
Smart Home: Sprachassistent fĂĽr Home Assistant
TI-Messenger: Rolle von TIM fĂĽr den Datenaustausch im Gesundheitswesen
XFCE 4.20: Schlanker Desktop auf dem Weg zu Wayland
GovStack veröffentlicht Spezifikationen für souveräne Cloud-Infrastruktur
Orcharhino 7.0: Verwaltungssoftware unterstĂĽtzt RHEL 9 & Co.
(who)