Je häufiger eine Anwendung gescannt wird, desto schneller können Schwachstellen behoben werden – das klingt logisch und wird auch vom zehnten State of Software Security Report (SoSS) von Veracode bestätigt. Trotz dieses offensichtlichen Zusammenhangs wird in der Praxis immer noch vergleichsweise selten getestet, wie die Zahlen zeigen. Warum das so ist und welche Hürden Unternehmen für häufigere Tests überwinden müssen, zeigt Julian Totzek-Hallhuber, Solution Architect bei Veracode, auf.

Für Veracodes ersten State of Software Security Report wurden in 2009 1.591 Anwendungen untersucht. Beim aktuellen Report, zehn Jahre später, waren es bereits 85.000 Apps, was einer Steigerung um mehr als den Faktor 50 entspricht. Es gibt also immer mehr Software mit Myriaden an Code-Zeilen, die es gilt zu schützen. 69 Prozent der für den aktuellen Report untersuchten Anwendungen werden allerdings nur zwischen ein und sechs Mal im Jahr getestet. Und nur weniger als ein Prozent werden 260 Mal (also mindestens einmal pro Werktag) getestet.

Die großen Unterschiede zeigen, dass es hier also noch viel Verbesserungsbedarf gibt. Das wird klar, wenn man die Relation zwischen Testhäufigkeit und Mean Time to Remediation (MTTR), also wie viele Tage es dauert bis eine gefundene Schwachstelle behoben wird, betrachtet. Bei 260 und mehr Scans pro Jahr beträgt die Zeit bis zur Fehlerbehebung im Schnitt 19 Tage. Bei 13 bis 52 Scans (also wöchentlich bis monatlich) sind es bereits 59 Tage. Sinkt die Testhäufigkeit weiter auf einen bis zwölf Scans pro Jahr, erhöht sich die MTTR auf 68 Tage.

Mindset DevSecOps

Sind Ressourcen knapp, müssen Unternehmen priorisieren – das ist ein elementarer Grundsatz jeglicher Wirtschaft. Sicherheit genießt dabei oft noch nicht die höchste Priorität. Mit der Verzahnung von Entwicklung und Betrieb im Rahmen von DevOps wurde im letzten Jahrzehnt ein starker Fokus auf agiles Arbeiten und immer schnellere Release-Zyklen gelegt. Der Entwicklung sicherer Software durch moderne Anwendungssicherheit wurde allerdings nicht dieselbe Aufmerksamkeit eingeräumt. Das ändert sich nun aber, was sich an der Entstehung des Begriffs DevSecOps ablesen lässt. Dieses Konzept bedarf, wie auch DevOps, eines Umdenkens. Dabei geht es um einen Kulturwandel im Unternehmen, was natürlich eine gewisse Anstrengung benötigt. Alle an der Entwicklung von Anwendungen beteiligten Personen, von den Entwicklern selbst bis hin zu den Sicherheitsexperten, müssen verstehen, dass die Sicherheit im Entwicklungsprozess sie alle gleichermaßen etwas angeht. Das Umdenken hin zu DevSecOps lohnt sich, denn die Zahlen zeigen auf, dass Unternehmen, die den Ansatz bereits implementiert haben, davon profitieren. So können Unternehmen, die an jedem Arbeitstag testen, die Zeit zur Fehlerbehebung um 72 Prozent reduzieren im Vergleich zu Unternehmen, die nur einmal pro Monat oder seltener testen.

Auf die richtigen Tools setzen

Da sich DevSecOps immer mehr durchsetzt, gibt es einige Technologien, die die Umsetzung des Konzepts verbessern können. Tools wie Static Analysis von Veracode helfen Entwicklern mit verschiedenen Scan-Möglichkeiten, so können sie Fehler schon während dem Schreiben von Code erkennen. Das trägt auch dazu bei Sicherheitsteams zu entlasten, damit sie Probleme frühzeitig angehen können sobald die Software zur Veröffentlichung bereit ist. Ein Pipeline Scan sorgt für schnelles Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung. Dieses schnelle Feedback ist entscheidend für integrierte Ansätze wie DevSecOps.

Man muss sich bewusstmachen, dass Sicherheit bei den Entwicklern beginnt. Technologien im Bereich der Anwendungssicherheit, die Schwachstellen nicht nur entdecken, sondern Entwicklern bereits während dem Programmieren in Echtzeit Lösungsvorschläge liefern sind unentbehrlich. Damit schnelle Software-Release-Zyklen erreicht werden können, sollten Unternehmen möglichst viel automatisieren und ihren Entwicklern entsprechend innovative Lösungen zur Verfügung stellen.

Über Veracode

Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können.

Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policy-basierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Pete Daly
Veracode
Telefon: 1 (339) 674-1528
E-Mail: pdaly@veracode.com
Julia Bastos
Hotwire für Veracode
Telefon: +49 (89) 26208-189
E-Mail: julia.bastos@hotwireglobal.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel