Software: 76% der Anwendungen mit mindestens einer Sicherheitslücke

Sicherheitslücken auch 6 Monate nach Entdeckung noch offen

[datensicherheit.de, 28.10.2020] Veracode hat nach eigenen Angaben am 28. Oktober 2020 die elfte Ausgabe seiner jährlichen Studie „State of Software Security“ (SoSS) vorgestellt. Daraus gehe hervor, „dass 76 Prozent aller Anwendungen mindestens eine Sicherheitslücke enthalten“. Die diesjährige Analyse, 2020, von 130.000 Anwendungen habe auch ergeben, dass es etwa sechs Monate dauere, bis die zuständigen Teams die Hälfte der gefundenen Sicherheitslücken beheben könnten. Die Ergebnisse zeigten außerdem, dass besonders Open-Source-Schwachstellen zunähmen. Ferner benenne dieser Report einige „Best Practices“, welche dabei helfen könnten, die „Fix Rates“ signifikant zu verbessern.

Abbildung: VERACODE

Report „State of Software Security v11“

Sicherheitslücken – „Nature“ oder „Nurture“

Der Report zeige auch einige „Best Practices“ auf, „die dabei helfen, die ,Fix Rates‘ signifikant zu verbessern“. Veracode unterscheide zwischen Faktoren, „über die die Teams viel oder sehr wenig Kontrolle haben und teilt diese in die Kategorien ,Nature‘ und ,Nurture‘ ein“. Im Bereich „Nature“ fänden sich Parameter wie der Umfang einer Anwendung oder die Unternehmensgröße und „Sicherheitsverschuldung“. „Nurture“ umfasse hingegen Einflussgrößen wie Scan-Häufigkeit und -Rhythmus sowie API-Scanning.

Sicherheitslücken: Fehler rechtzeitig finden und vollumfänglich beheben

Die „SOSS 11“-Studie zeige auf, dass moderne DevSecOps-Praktiken zu höheren Fehlerbehebungsraten führten. Die Verwendung mehrerer Anwendungssicherheits-Scan-Typen, die Arbeit mit kleineren oder moderneren Anwendungen und die Einbettung von Sicherheitstests in die Pipeline über eine API trügen alle dazu bei, die Zeit zur Behebung von Schwachstellen zu verkürzen, selbst bei Anwendungen mit ungünstigen Voraussetzungen auf der „Nature“-Seite. „Das Ziel der Software-Security besteht nicht darin, Anwendungen beim ersten Mal perfekt zu schreiben, sondern darin, Fehler rechtzeitig zu finden und vollumfänglich zu beheben“, erläutert Chris Eng, „Chief Research Officer“ bei Veracode. Selbst wenn sie mit den anspruchsvollsten Umgebungen konfrontiert würden, könnten Entwickler mit der richtigen Schulung und den richtigen Tools spezifische Maßnahmen ergreifen, um die Gesamtsicherheit einer Anwendung zu verbessern.

Die wichtigsten Ergebnisse der Studie zu Sicherheitslücken:

Fehlerhafte Anwendungen sind die Norm:
76 Prozent der Anwendungen wiesen mindestens eine Sicherheitslücke auf, aber nur 24 Prozent hätten schwerwiegende Mängel. Dies sei ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme hätten, die ernsthafte Risiken für die Anwendung darstellten. Häufiges Scannen könne die Zeit, „die benötigt wird, um die Hälfte der gefundenen Lücken zu schließen, um mehr als drei Wochen verkürzen“.

Open-Source-Schwachstellen nehmen zu:
70 Prozent der Anwendungen übernähmen mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken. 30 Prozent der Anwendungen wiesen sogar mehr Mängel in ihren Open-Source-Bibliotheken auf als in intern geschriebenem Code. „Wichtig ist daher eine ganzheitliche Sicht auf die Anwendungssicherheit, die auch Code von Drittanbietern miteinschließt.“

Mehrere Scan-Typen beweisen die Wirksamkeit von DevSecOps:
Teams, die eine Kombination von Scan-Typen einschließlich statischer Analyse (SAST), dynamischer Analyse (DAST) und Software-Composition-Analyse (SCA) verwendeten, verbesserten die „Fix Rates“. „Diejenigen, die SAST und DAST zusammen verwenden, beheben die Hälfte der Fehler 24 Tage schneller.“

Automatisierung ist wichtig:
Unternehmen, die das „Security Testing“ im „Software Development Life Cycle“ (SDLC) automatisierten, „könnten die Hälfte der Schwachstellen 17,5 Tage schneller adressieren als jene, die weniger automatisiert testen“.

Sicherheitsverschuldung zu reduzieren ist entscheidend:
Der Zusammenhang zwischen häufigem Scannen von Anwendungen und schnelleren Korrekturzeiten sei im im vorherigen „State of Software Security“-Report dargestellt worden. „Die aktuelle Studie ergab nun, dass der Abbau von Sicherheitsverschuldung, also die Behebung des Rückstands bekannter Fehler, das Gesamtrisiko senkt.“ Veracode stellt demnach in der diesjährigen Studie außerdem fest, „dass bei älteren Anwendungen mit hoher Fehlerdichte die Behebungszeiten wesentlich langsamer sind, so dass durchschnittlich 63 Tage hinzukommen, um die Hälfte der Sicherheitslücken zu schließen“.

Über die Sicherheitslücken-Studie…

Die Studie „State of Software Security (SOSS) 11“ von Veracode sei ein „umfassender Überblick über die Daten der Anwendungssicherheitstests von Scans von mehr als 130.000 aktiven Anwendungen, die innerhalb von Veracodes Kundenstamm von mehr als 2.500 Unternehmen durchgeführt wurden“. Es handele sich dabei um den branchenweit umfassendsten Satz von Anwendungssicherheits-Benchmarks. Veracode habe mit „Data Scientists“ des Cyentia-Instituts zusammengearbeitet, um neue Bedrohungen besser zu visualisieren und zu verstehen und um herauszufinden, wie Entwickler Anwendungen besser und sicherer machen könnten.

Weitere Informationen zum Thema:

VERACODE
State of Software Security v11 / Read the Report

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen