Aus einer neuen Studie von Veracode geht hervor, dass die meisten Anwendungen heute etwa dreimal pro Woche gescannt werden. Vor zehn Jahren war dies nur zwei oder dreimal im Jahr der Fall. Damit hat sich die durchschnittliche Scanfrequenz zwischen 2010 und 2021 um das 20-Fache gesteigert. Auch die Scanhäufigkeit hat sich drastisch erhöht: Entwickler testen heute mehr als 17 neue Anwendungen pro Quartal – mehr als dreimal so viele Anwendungen wie im selben Zeitraum vor zehn Jahren. Der Veracode State of Software Security (SoSS) v12 basiert auf der Analyse von mehr als einer halben Million analysierten Anwendungen. Dabei umfasst er Daten von großen und mittelständigen Unternehmen, kommerziellen Softwareanbietern und Open-Source-Projekten.
Studien zufolge gibt es heute weltweit mehr als 4,66 Milliarden aktive Internetznutzer und die Welt ist vernetzter als je zuvor. „Es reicht nicht mehr aus, Software in der letzten Phase ihres Entwicklungszyklus als Vorstufe der Fertigstellung zu scannen. Genauso wie Software heute kontinuierlich bereitgestellt wird, muss auch das Scannen mit einer Vielzahl von Testwerkzeugen kontinuierlich als voll integrierter Teil des Prozesses erfolgen“, erklärt Chris Wysopal, Co-Founder und Chief Technology Officer bei Veracode.
Wer mehrere Scanarten einsetzt, behebt Schwachstellen schneller
Unternehmen erkennen zunehmend die Notwendigkeit, die von ihnen entwickelte Software auf verschiedenen Ebenen zu analysieren. Daher werden kontinuierliche Sicherheitstests mithilfe mehrere Scanarten immer mehr zur Norm und Unternehmen setzen stärker denn je auf einen Mix aus unterschiedlichen Scantypen, um ihre Software abzusichern. Die kombinierte Nutzung von statischen Scans, dynamischen Scans und Software-Composition-Analysis (SCA) hat zwischen 2018 und 2021 um 31 Prozent zugenommen. Dieser Trend knüpft an die Ergebnisse des letztjährigen State of Software Security Report v11 an: Dieser stellte fest, dass Unternehmen, die zusätzlich zu statischen Scans auch dynamische Scans einsetzen, für die Behebung von Schwachstellen 24 Tage weniger an Zeit benötigen. Durch die Software-Composition-Analysis konnten sie weitere sechs Tage einsparen.
Zeit ist die Währung im Wettbewerb für Softwareentwicklungsteams
Softwareentwicklungsteams setzen auf agile Methoden und Tools zur Prozessautomatisierung sowie Cloud-native Technologien, Open-Source-Software und Microservices, da sie schneller arbeiten müssen. Zwar haben diese Entwicklungen die Geschwindigkeit der Softwareentwicklung erhöht, gleichzeitig haben sie aber auch neue Komplexitäten und Risiken mit sich gebracht.
„Die Zunahme an modularen Anwendungen, insbesondere in den vergangenen zwei Jahren, hat zu einem starken Anstieg bei der Anzahl der gescannten Anwendungen geführt“, sagt Chris Eng, Chief Research Officer bei Veracode. „Im Jahr 2018 umfassten etwa 20 Prozent der Anwendungen mehrere Sprachen, dieser Anteil ist jedoch auf nur noch fünf Prozent gesunken. Dies deutet auf eine Verlagerung zu kleineren Anwendungen hin, die nur eine einzige Aufgabe erfüllen. Das deckt sich mit der wachsenden Beliebtheit von Microservices.“
Unternehmen profitieren von Sicherheitstrainings für Entwickler
Die Untersuchung von Veracode zeigt aber nicht nur Verbesserungen bei der Scanfrequenz und den Kapazitäten zur Fehlerbehebung, sondern auch die positiven Auswirkungen interaktiver Sicherheitsschulungen: Unternehmen, deren Entwickler mindestens eine Lektion der Veracode Security Labs absolviert hatten – einem praxisorientierten Trainingsprogramm mit realen Anwendungen – behoben Schwachstellen um 35 Prozent schneller als Unternehmen ohne ein solches Training. „Da nur wenige Informatikstudiengänge an den Universitäten Software Security lehren, darf die Bedeutung von Schulungen mit echten, anfälligen Anwendungen in sicheren, geführten Umgebungen nicht unterschätzt werden. Unsere Daten zeigen: Diejenigen, die an Trainingskursen teilnehmen, haben einen Vorsprung, wenn sie die Ursachen von Schwachstellen verstehen und diese schnell beheben sollen“, ergänzt Eng.
Wysopal schließt: „Wir wollen Unternehmen dabei unterstützen, fundierte Entscheidungen über ihre Software-Sicherheitsprogramme zu treffen. So können sie ihr Risiko minimieren und gleichzeitig die zunehmend strengeren Vorschriften erfüllen, wie sie etwa durch die US Executive Order zur Cyber-Security oder durch die Cyber-Sicherheitsstrategie der britischen Regierung festgelegt sind. Die Ergebnisse des neuen SoSS-Reports geben uns die Hoffnung, dass die Anwendungssicherheit stärker in den Fokus rückt und dass sich die zusätzliche Aufmerksamkeit durch Medien und Regierungen positiv auswirkt.“
Der vollständige Veracode State of Software Security v12 steht hier zum Download bereit.
#Varacode