Veracode 22.12.2022, 14:17 Uhr

Jede vierte Anwendung hat schwerwiegende Sicherheitslücken

Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen ein Viertel aller Anwendungen im Technologiebereich Sicherheitslücken auf, die als «schwerwiegend» eingestuft werden.
Laut Veracode sind bei einem Viertel aller Anwendungen im Technologiebereich schwerwiegende Sicherheitslücken vorhanden
(Quelle: veracode.com)
Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports hat Veracode 20 Millionen Scans von einer halben Million Anwendungen in den Branchen Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden analysiert. Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent.
Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden. Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.
Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten, sagt Veracode. Chris Eng, Chief Research Officer bei Veracode: «Indem wir Entwicklern eine echte hands-on Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann – und wie sie sich auf die Anwendung auswirken kann -, schaffen wir den Kontext und das Verständnis, um ihr Gespür für Software-Sicherheit zu entwickeln.»
Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Grossen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt. Umgekehrt weist der Sektor die grösste Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.
Der Veracode State of Software Security v12 Technology Snapshot kann hier heruntergeladen werden. Der vollständige Bericht ist hier verfügbar (Anmeldung erforderlich). Weitere Informationen finden Sie unter www.veracode.com

Bernhard Lauer
Autor(in) Bernhard Lauer



Das könnte Sie auch interessieren