State of the Software Supply Chain Report 2022 von Revenera Alle 11.500 Code-Zeilen ein Sicherheitsrisiko

Quelle: Pressemitteilung

Open-Source-basierte Schwachstellen wie Log4Shell zeigen, dass Software-Lieferketten geschützt und überwacht sein wollen. Wie es um die Sicherheit der Software Supply Chains in Unternehmen bestellt ist, zeigt ein Statusreport von Revenera.

Anbieter zum Thema

Mehr als 2,6 Milliarden Lines of Code haben die Audit-Fachkräfte von Revenera für den „State of the Software Supply Chain“-Report ausgewertet.
Mehr als 2,6 Milliarden Lines of Code haben die Audit-Fachkräfte von Revenera für den „State of the Software Supply Chain“-Report ausgewertet.
(Bild: Revenera)

Für den „State of the Software Supply Chain“-Report hielten über 100 Security-Audits her, Revenera wertete dabei mehr als 2,6 Milliarden Codezeilen aus. Dabei entdeckten die Audit-Teams insgesamt 230.000 kritische Fälle. Durchschnittlich stießen die Analysten somit alle 11.500 Codezeilen auf einen Compliance-Verstoß, eine Schwachstelle oder ähnliches, pro Audit gab es im Schnitt 2.200 kritische Fälle.

Die Zahl der kritischen Vorfälle und Compliance-Risiken (Prioritätsstufe 1) wuchs gegenüber dem Vorjahr von 9000 auf 9500, also um sechs Prozent. Einen deutlichen Zuwachs um 50 Prozent verzeichneten die Audit-Teams bei Vorfällen der Prioritätsstufe 2, hierzu zählen beispielsweise sekundäre Probleme mit kommerziellen Lizenzen. Der Zuwachs bei Problemen der Prioritätsstufe 3, z. B. im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT, betrug gut ein Drittel.

Die Zahl der Sicherheitslücken auf Codeebene hat sich im Vergleich zum Vorjahr mehr als verdreifacht. Die Revenera-Analysten identifizierten pro Audit durchschnittlich 282 Schwachstellen, ein Anstieg von 217 Prozent. Von den aufgedeckten Schwachstellen stellten 27 Prozent ein „hohes“ CVSS-Risiko dar (Common Vulnerability Scoring System) und damit eine unmittelbare Bedrohung für IT-Sicherheit und Cyberschutz.

Der Anteil von Binärdateien in einer typischen Anwendungscodebasis nahm um sieben Prozent zu. Insgesamt stießen die Analysten auf insgesamt 343.000 Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen. Damit steigt auch die Komplexität des Software-Codes, da automatisch mehr Abhängigkeiten in die Codebasis gelangen.

Alex Rybak, Director Product Management bei Revenera, unterstreicht die Komplexität: „Der Umfang von Open-Source- und Drittanbieter-Komponenten wächst und wächst.“ Unternehmen bräuchten angesichts dessen branchenweite Standards, sollten interne Compliance-Programme umsetzen und den Einsatz von Software Composition Analysis erwägen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47999904)