Suchen

Veracode-Report „Moderne Sicherheit in der Anwendungsentwicklung“ DevSecOps-Teams pushen bewusst anfälligen Code

| Redakteur: Stephan Augsten

Wie ist es um die Code-Sicherheit bestellt und wie sehen erfolgreiche DevSecOps-Strategien aus? Die Studie „Modern Application Development Security“, die von ESG Global im Auftrag von Veracode erstellt wurde, beantwortet derlei Fragen.

Firmen zum Thema

Trotz funktionierender Security-Initiativen wird Code weiterhin mit Schwachstellen in Produktion gebracht.
Trotz funktionierender Security-Initiativen wird Code weiterhin mit Schwachstellen in Produktion gebracht.
(Bild: ESG Global / Veracode)

Viele Unternehmen halten die Tools, die sie für mehr Anwendungssicherheit einsetzen, für solide, produzieren aber weiterhin anfälligen Code – und zwar wissentlich. Dies ist ein Fazit, das Dave Gruber, Senior Analyst bei ESG Global, in seinem Report „Modern Application Development Security“ zieht.

85 Prozent der Befragten räumten ein, regelmäßig, hin und wieder oder zumindest einmalig fehlerhaften Code in Produktion gebracht zu haben. Als Gründe dafür nannten sie beispielsweise zu erfüllende Deadlines (mit dem Plan, das Problem in einem Folge-Release zu beheben), ein gefühlt geringes Risikopotenzial oder auch zu spät erkannte Schwachstellen.

Die Entscheidung darüber, wann der Programmcode in die freie Wildbahn entlassen wird, trifft in 28 Prozent der Fälle das komplette DevSecOps Team samt Deployment Manager und Sicherheitsanalyst. Knapp ein Viertel der Code-Veröffentlichungen geht allein auf den Development Manager zurück, gut ein Fünftel auf den Sicherheitsverantwortlichen. Individuelle Entwickler zeichnen in 15 Prozent, QA- und/oder Security-Teams in elf Prozent der Fälle verantwortlich.

Die Bandbreite der eingesetzten Security Tools ist laut dem Report recht groß. Sie reicht von API Security Vulnerability (ASV) Scans und Infrastructure-as-Code-Tools über Static, Interactive sowie Dynamic Application Security Testing (SAST, IAST, DAST) und Software Composition Analysis bis hin zu IDE-Plug-ins, Container-, Repository, Microservice- und Runtime-Scans sowie Fuzzing.

Der im Auftrag von Veracode erstellte AppSec-Report zeigt noch weitere interessante Erkenntnisse auf, beispielsweise zur Open-Source- sowie Microservices-Entwicklung und zur Effektivität von Sicherheitstrainings sowie anderen DevSecOps-Maßnahmen. Basierend auf den Application-Security-Strategien der befragten Unternehmen hat Gruber auch die zehn wichtigsten Elemente eines effektiven AppSec-Programms identifiziert:

  • 1. Die Sicherheitskontrollen der Anwendungen sind hochgradig in die CI/CD-Toolchain integriert.
  • 2. Best Practices der Anwendungssicherheit werden formal dokumentiert.
  • 3. Anwendungssicherheitstrainings sind Teil des Schulungsprogramms zur kontinuierlichen Weiterentwicklung der Sicherheit.
  • 4. Development-Manager sind dafür verantwortlich, den Entwicklern die in Punkt 2 erwähnten Handlungsempfehlungen zu vermitteln.
  • 5. Ein hoher Prozentsatz der Entwickler nimmt an formellen Schulungsprogrammen zur Anwendungssicherheit teil.
  • 6. Entstandene Sicherheitsprobleme werden auf einzelne Entwicklungsteams heruntergebrochen.
  • 7. Formale Prozesse und Metriken verfolgen die kontinuierliche Verbesserung der Anwendungssicherheit.
  • 8. Metriken zur kontinuierlichen Verbesserung werden für einzelne Entwicklungsteams erstellt.
  • 9. Sicherheitsprobleme werden während des Code-Entwicklungsprozesses zurückverfolgt.
  • 10. Automatisierte Tools zur Risikoaggregation tracken Risiken, um Entwicklungsleiter auf dem Laufenden zu halten.

(ID:46799147)