Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.
Herausforderungen für die Anwendungssicherheit
Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit. Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.
Softwareentwicklung braucht „Security Champions“
Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.
Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen
Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.
Veracode ist der weltweit größte Anbieter von Anwendungssicherheitslösungen (AppSec) und führender AppSec-Partner für die sichere Softwareentwicklung, Minimierung von Schwachstellen und Produktivitätssteigerung von Sicherheits- und Entwicklerteams. Durch die Kombination von Automatisierung, Integration, Geschwindigkeit und eines prozess-orientierten Ansatzes bietet Veracode Unternehmen akkurate und verlässliche Ergebnisse. Somit können sie sich darauf konzentrieren Schwachstellen nicht nur zu finden, sondern auch zu beheben.
Veracode hat über 2.500 Kunden weltweit aus den verschiedensten Branchen. Allein seit dem 1. Januar 2020 hat die Veracode-Lösung bereits mehr als 7,8 Billionen Code-Zeilen bewertet und Unternehmen dabei geholfen über 10,5 Millionen Schwachstellen insgesamt zu beheben.
Das preisgekrönte Partner-Programm von Veracode liefert marktführende Lösungen und Services, die mit minimalem Geschäftsaufwand schnell implementiert werden können.
Weitere Informationen unter http://www.veracode.com/, im Veracode Blog und auf Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Head of PR EMEA
E-Mail: kgwilliam@veracode.com
Telefon: +49 (151) 193152-59
E-Mail: julia.bastos@hotwireglobal.com
Hotwire für Veracode
Telefon: +49 1714412450
E-Mail: Lara.Weber@Hotwireglobal.com