Anwendungssicherheit: Regelmäßiges Scannen für weniger Schwachstellen

Für Veracodes ersten State of Software Security Report wurden in 2009 1.591 Anwendungen untersucht. Beim aktuellen Report, zehn Jahre später, waren es bereits 85.000 Apps, was einer Steigerung um mehr als den Faktor 50 entspricht. Es gibt also immer mehr Software mit Myriaden an Code-Zeilen, die es gilt zu schützen. 69 Prozent der für den aktuellen Report untersuchten Anwendungen werden allerdings nur zwischen ein und sechs Mal im Jahr getestet. Und nur weniger als ein Prozent werden 260 Mal (also mindestens einmal pro Werktag) getestet.

Die großen Unterschiede zeigen, dass es hier also noch viel Verbesserungsbedarf gibt. Das wird klar, wenn man die Relation zwischen Testhäufigkeit und Mean Time to Remediation (MTTR), also wie viele Tage es dauert bis eine gefundene Schwachstelle behoben wird, betrachtet. Bei 260 und mehr Scans pro Jahr beträgt die Zeit bis zur Fehlerbehebung im Schnitt 19 Tage. Bei 13 bis 52 Scans (also wöchentlich bis monatlich) sind es bereits 59 Tage. Sinkt die Testhäufigkeit weiter auf einen bis zwölf Scans pro Jahr, erhöht sich die MTTR auf 68 Tage.

Mindset DevSecOps

Sind Ressourcen knapp, müssen Unternehmen priorisieren – das ist ein elementarer Grundsatz jeglicher Wirtschaft. Sicherheit genießt dabei oft noch nicht die höchste Priorität. Mit der Verzahnung von Entwicklung und Betrieb im Rahmen von DevOps wurde im letzten Jahrzehnt ein starker Fokus auf agiles Arbeiten und immer schnellere Release-Zyklen gelegt. Der Entwicklung sicherer Software durch moderne Anwendungssicherheit wurde allerdings nicht dieselbe Aufmerksamkeit eingeräumt. Das ändert sich nun aber, was sich an der Entstehung des Begriffs DevSecOps ablesen lässt. Dieses Konzept bedarf, wie auch DevOps, eines Umdenkens. Dabei geht es um einen Kulturwandel im Unternehmen, was natürlich eine gewisse Anstrengung benötigt. Alle an der Entwicklung von Anwendungen beteiligten Personen, von den Entwicklern selbst bis hin zu den Sicherheitsexperten, müssen verstehen, dass die Sicherheit im Entwicklungsprozess sie alle gleichermaßen etwas angeht. Das Umdenken hin zu DevSecOps lohnt sich, denn die Zahlen zeigen auf, dass Unternehmen, die den Ansatz bereits implementiert haben, davon profitieren. So können Unternehmen, die an jedem Arbeitstag testen, die Zeit zur Fehlerbehebung um 72 Prozent reduzieren im Vergleich zu Unternehmen, die nur einmal pro Monat oder seltener testen.

Auf die richtigen Tools setzen

Da sich DevSecOps immer mehr durchsetzt, gibt es einige Technologien, die die Umsetzung des Konzepts verbessern können. Tools wie Static Analysis von Veracode helfen Entwicklern mit verschiedenen Scan-Möglichkeiten, so können sie Fehler schon während dem Schreiben von Code erkennen. Das trägt auch dazu bei Sicherheitsteams zu entlasten, damit sie Probleme frühzeitig angehen können sobald die Software zur Veröffentlichung bereit ist. Ein Pipeline Scan sorgt für schnelles Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung. Dieses schnelle Feedback ist entscheidend für integrierte Ansätze wie DevSecOps.

Man muss sich bewusstmachen, dass Sicherheit bei den Entwicklern beginnt. Technologien im Bereich der Anwendungssicherheit, die Schwachstellen nicht nur entdecken, sondern Entwicklern bereits während dem Programmieren in Echtzeit Lösungsvorschläge liefern sind unentbehrlich. Damit schnelle Software-Release-Zyklen erreicht werden können, sollten Unternehmen möglichst viel automatisieren und ihren Entwicklern entsprechend innovative Lösungen zur Verfügung stellen.