Der Report enthüllt auch einige Best Practices, die dabei helfen, die Fix Rates signifikant zu verbessern. Veracode unterscheidet zwischen Faktoren, über die die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien „Nature“ und „Nurture“ ein. Im Bereich „Nature“ finden sich Parameter wie der Umfang einer Anwendung oder die Unternehmensgröße und Sicherheitsverschuldung. „Nurture“ umfasst hingegen Einflussgrößen wie Scan-Häufigkeit und – Rhythmus sowie API-Scanning.
Behebung von Sicherheitslücken: „Nature“ oder „Nurture“?
Die SOSS 11 Studie zeigt auf, dass moderne DevSecOps-Praktiken zu höheren Fehlerbehebungsraten führen. Die Verwendung mehrerer Anwendungssicherheits-Scan-Typen, die Arbeit mit kleineren oder moderneren Anwendungen und die Einbettung von Sicherheitstests in die Pipeline über eine API tragen alle dazu bei, die Zeit zur Behebung von Schwachstellen zu verkürzen, selbst bei Anwendungen mit ungünstigen Voraussetzungen auf der „Nature“-Seite.
„Das Ziel der Software Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, sagt Chris Eng, Chief Research Officer bei Veracode. „Selbst wenn sie mit den anspruchsvollsten Umgebungen konfrontiert werden, können Entwickler mit der richtigen Schulung und den richtigen Tools spezifische Maßnahmen ergreifen, um die Gesamtsicherheit einer Anwendung zu verbessern.“
Die wichtigsten Ergebnisse der SOSS 11 Studie im Überblick:
- Fehlerhafte Anwendungen sind die Norm: 76 Prozent der Anwendungen weisen mindestens eine Sicherheitslücke auf, aber nur 24 Prozent haben schwerwiegende Mängel. Dies ist ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme haben, die ernsthafte Risiken für die Anwendung darstellen. Häufiges Scannen kann die Zeit, die benötigt wird, um die Hälfte der gefundenen Lücken zu schließen, um mehr als drei Wochen verkürzen.
- Open-Source-Schwachstellen nehmen zu: 70 Prozent der Anwendungen übernehmen mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken. 30 Prozent der Anwendungen weisen sogar mehr Mängel in ihren Open-Source-Bibliotheken auf als in intern geschriebenem Code. Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt.
- Mehrere Scan-Typen beweisen die Wirksamkeit von DevSecOps: Teams, die eine Kombination von Scan-Typen einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) verwenden, verbessern die Fix Rates. Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller.
- Automatisierung ist wichtig: Unternehmen, die das Security Testing im SDLC automatisieren, können die Hälfte der Schwachstellen 17,5 Tage schneller adressieren als jene, die weniger automatisiert testen.
- Sicherheitsverschuldung reduzieren ist entscheidend: Der Zusammenhang zwischen häufigem Scannen von Anwendungen und schnelleren Korrekturzeiten wurde im vorherigen State of Software Security Report dargestellt. Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt. Veracode stellt in der diesjährigen Studie außerdem fest, dass bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen.
Weitere Informationen:
- Laden Sie die neue State of Software Security Studie (Ausgabe 11) hier herunter
- Die englische Pressemeldung finden Sie auf der Veracode-Homepage
Über die State of Software Security Studie
Die Studie „State of Software Security (SOSS) 11“ von Veracode ist ein umfassender Überblick über die Daten der Anwendungssicherheitstests von Scans von mehr als 130.000 aktiven Anwendungen, die innerhalb von Veracodes Kundenstamm von mehr als 2.500 Unternehmen durchgeführt wurden. Es handelt sich dabei um den branchenweit umfassendsten Satz von Anwendungssicherheits-Benchmarks. Veracode hat mit Data Scientists des Cyentia-Instituts zusammengearbeitet, um neue Bedrohungen besser zu visualisieren und zu verstehen und um herauszufinden, wie Entwickler Anwendungen besser und sicherer machen können.
Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können.
Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policybasierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Hotwire für Veracode
Telefon: +49 (171) 4412450
E-Mail: lara.weber@hotwireglobal.com