Suchen

Report zur Lage der Software-Sicherheit Developer Guide von Veracode

| Autor: Stephan Augsten

Im Nachgang zum „State of Software Security“-Report hat Veracode einen Entwickler-Guide veröffentlicht. Neben den anfälligsten Programmiersprachen und häufigen Sicherheitsverstößen nennt dieser auch Best Practices für eine sichere Anwendungsentwicklung.

Firmen zum Thema

Im Developer Guide zum State of Software Security Report nennt Veracode anfällige Programmiersprachen, Frameworks und Open-Source-Komponenten.
Im Developer Guide zum State of Software Security Report nennt Veracode anfällige Programmiersprachen, Frameworks und Open-Source-Komponenten.
(Bild: Veracode)

Open-Source-Komponenten können ein Sicherheitsrisiko darstellen, das ist keine Frage. Mit Blick auf den State-of-Software-Security-Report weist Veracode beispielsweise auf eine fast allgegenwärtige Bedrohung im Open-Source-Framework Struts hin: 91 Prozent aller Java-Anwendungen, die Struts-Komponenten enthalten, basieren auf einer Version des Frameworks mit mindestens einer kritischen oder hochkritischen Schwachstelle.

Ähnlich gefährlich ist die Lage bei Java-basierten, quelloffenen Microservices: 88 Prozent der im vergangenen Jahr überprüften Java-Anwendungen wiesen mindestens einen Angriffspunkt auf, dem eine entsprechende Komponente zugrunde lag.

Plant ein DevOps-Team eigenständige Schwachstellen-Tests, sollte es laut Veracode auch die Kollegen aus der Sicherheitsabteilung mit ins Boot zu holen: Jene Entwickler, die bei der Schwachstellensuche aktiv den Rat ihrer Security-Mitarbeiter einholten, konnten 2017 ihre Bugfix-Rate um 87,6 Prozent verbessern.

Im Übrigen sei sich die Mehrheit der IT-Profis, Sicherheitsprofis und Entwickler einig, dass Entwickler im Bereich Application Security zu wenig geschult sind. Trainings könnten laut Veracode aber messbare Verbesserung der Fixing-Raten bewirken, insbesondere wenn sie direkt mit Informationen über bestehende Schwachstellen in der Codebasis gekoppelt werden.

Artikelfiles und Artikellinks

(ID:45035989)

Über den Autor

 Stephan Augsten

Stephan Augsten

Chefredakteur, Dev-Insider