:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/58/19/5819c761ed85847bcd078190acf7ad4f/0114215872.jpeg "Die Beta von GitHub Copilot Chat ist fortan für alle User von Visual Studio und VS Code verfügbar. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/1c/21/1c217e175ccf86245c86b48a7a70f930/0114270577.jpeg "Sysdig und Checkmarx führen Cloud- und Anwendungssicherheit auf einer Plattform zusammen. (Bild: William)")
:quality(80)/p7i.vogel.de/wcms/5e/08/5e0825016fa505d43decf6f23fcd5047/0114270026.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/ca/02caa38db6be1bcce330d6bb35d8742e/0114195179.jpeg "Langeweile lassen Developer nicht lange auf sich sitzen, der Arbeitgeber ist schnell gewechselt. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/dd/64/dd64a3e1d07ca90d00b83de559c2512d/0113887944.jpeg "„Edge-Computing ist kein bestimmter Ort oder Gerätetyp, sondern eher ein Kontinuum von Standorten, die vom zentralisierten Cloud-Computing entfernt sind“, so Autor Sebastian Scheele. Trotzdem eignen sich Cloud-Native-Technologien, insbesondere Kubernetes, um an der Edge Computing zu betreiben. (Bild: frei lizenziert: distelAPPArath)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/6e/a8/6ea8547b0fb110921fb8b4b40e9c7eb9/0114132511.jpeg "Eine simple Slideshow samt Vollbildmodus? Kein Problem für Bard und GPT-4. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Veracode-Report „State of Software Security“ Fertigungsindustrie weist die wenigsten Sicherheitslücken auf
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Laut der 12. Ausgabe des Reports „State of Software Security (SoSS)“ von Veracode weist der Fertigungsbereich den vergleichsweise geringsten Anteil an Sicherheitslücken auf. Die Branche sei allerdings besonders langsam, wenn es darum geht, identifizierte Mängel zu beseitigen.
Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports habe Veracode 20 Mio. Scans von einer halben Million Anwendungen in den Branchen Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden analysiert. Das Ergebnis der Fertigungsindustrie: 72 Prozent der Anwendungen enthalten Software-Schwachstellen, von denen zwölf Prozent als „schwerwiegend“ eingestuft werden – der niedrigste Wert unter allen analysierten Branchen.
Im vergangenen Jahr habe der Fertigungsbereich sowohl mit wachsender Nachfrage als auch mit steigendem Druck auf globale Lieferketten zu kämpfen gehabt. Infolgedessen sei die Branche 2021 ein besonders interessantes Ziel für Cyberkriminelle gewesen. Als wichtigster erster Angriffsvektor nutzen sie vor allem Schwachstellen in Anwendungen aus (laut X-Force Threat Intelligence Index von IBM Security, Februar 2022). Durch Verordnungen wie den EU Cyber Resilience Act oder die US Executive Order habe die Absicherung der Software-Lieferkette an Bedeutung gewonnen.
„Im Laufe der letzten Jahre räumten Fertigungsunternehmen der Software-Sicherheit eine wesentlich höhere Priorität ein. Es ist gut zu sehen, dass diese Maßnahme Früchte trägt und die Anzahl der Schwachstellen zurückgegangen ist – vor allem, wenn man das Aufkommen neuer Plattformen und IT-Umgebungen berücksichtigt“, so Chris Eng, Chief Research Officer bei Veracode. „Im vergangenen Jahr waren es noch 76 Prozent der Anwendungen im Fertigungsbereich, die Schwachstellen aufwiesen. 21 Prozent davon stuften wir als „schwerwiegend“ ein. Die Zahlen sind demnach merklich gesunken.“
Open-Source-Schwachstellen bleiben hartnäckig
Zwar weise der Fertigungsbereich den insgesamt geringsten Anteil an Schwachstellen auf, jedoch sei die Branche – ähnlich wie das Gesundheitswesen und der Tech-Bereich – nicht gut darin, identifizierte Mängel zu beseitigen. Besonders besorgniserregend: Produktionsunternehmen seien besonders langsam, wenn es darum geht, Schwachstellen zu beheben, die durch statische Analysen (SAST), dynamische Analysen (DAST) und Software Composition Analysis (SCA) aufgedeckt wurden. So blieben z.B. 55 Prozent aller durch SAST entdeckte Schwachstellen auch nach einem Jahr bestehen. Diesem Durchschnittswert hinke der Fertigungsbereich mit vier zusätzlichen Monaten deutlich hinterher.
Durch SCA entdeckte Schwachstellen in Libraries von Drittanbietern, so Veracode, bleiben über alle Branchen hinweg für lange Zeit unbehoben. Selbst nach zwei Jahren würden 30 Prozent der anfälligen Bibliotheken noch Mängel aufweisen. Im Fertigungsbereich steige dieser Wert sogar auf mehr als 40 Prozent an und liege damit mehr als sechs Monate hinter dem branchenübergreifenden Durchschnitt.
„Dieser Umstand lässt sich womöglich auf die Anzahl an hochspezialisierten Industrieanwendungen zurückführen, die zwar weniger, aber schwerer zu behebende Schwachstellen enthalten als in anderen Branchen. Dies unterstreicht einmal mehr, wie wichtig es ist, dass Produktionsunternehmen Schwachstellen frühzeitig erkennen und tilgen“, führt Eng weiter aus.
Verbreitete Schwachstellentypen im Verhältnis zu Programmiersprachen
Neben der Anzahl habe man auch Schwachstellentypen über alle Programmiersprachen hinweg durchleuchtet, die für Anwendungen im Fertigungsbereich zum Einsatz kommen – einschließlich Java, .NET und JavaScript. Veracode fand heraus, dass Serverkonfigurationen, ungesicherte Abhängigkeiten und Datenlecks zu den häufigsten Sicherheitslücken gehören.
Eng kommentiert abschließend: „Die Sicherheit von Unternehmen und kritischen Infrastrukturen ist überwiegend abhängig von der Absicherung der Software-Lieferkette. Dies lässt sich jedoch nur erreichen, indem man die Zusammensetzung und einzelne Bestandteile transparenter macht. Demnach müssen Produktionsunternehmen bereits in den frühen Phasen der Software-Entwicklung Sicherheitsmechanismen einbauen und entsprechende Tools verwenden, um eine Software Bill of Materials (SBOM) zu erstellen. Erst dann können sie sicherstellen, dass ihre Produkte weniger Schwachstellen und folglich ein geringeres Risikopotenzial aufweisen.“
(ID:48705635)
:quality(80)/p7i.vogel.de/wcms/b9/4c/b94c47630d1c1948b0cce80a08d39f62/0103619924.jpeg "Der aktuelle SoSS-Report von Veracode zeigt, dass Unternehmen mehr testen und dabei auf einen Mix aus unterschiedlichen Scan-Arten zurückgreifen. (© lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/25/a4255dd9ad58510d0f464370b26dd28f/0112161927.jpeg "Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. (Bild: frei lizenziert Peggychoucair / Pixabay)")