:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Veracode-Report „State of Software Security“ Fertigungsindustrie weist die wenigsten Sicherheitslücken auf
Anbieter zum Thema
Laut der 12. Ausgabe des Reports „State of Software Security (SoSS)“ von Veracode weist der Fertigungsbereich den vergleichsweise geringsten Anteil an Sicherheitslücken auf. Die Branche sei allerdings besonders langsam, wenn es darum geht, identifizierte Mängel zu beseitigen.
Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports habe Veracode 20 Mio. Scans von einer halben Million Anwendungen in den Branchen Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden analysiert. Das Ergebnis der Fertigungsindustrie: 72 Prozent der Anwendungen enthalten Software-Schwachstellen, von denen zwölf Prozent als „schwerwiegend“ eingestuft werden – der niedrigste Wert unter allen analysierten Branchen.
Im vergangenen Jahr habe der Fertigungsbereich sowohl mit wachsender Nachfrage als auch mit steigendem Druck auf globale Lieferketten zu kämpfen gehabt. Infolgedessen sei die Branche 2021 ein besonders interessantes Ziel für Cyberkriminelle gewesen. Als wichtigster erster Angriffsvektor nutzen sie vor allem Schwachstellen in Anwendungen aus (laut X-Force Threat Intelligence Index von IBM Security, Februar 2022). Durch Verordnungen wie den EU Cyber Resilience Act oder die US Executive Order habe die Absicherung der Software-Lieferkette an Bedeutung gewonnen.
„Im Laufe der letzten Jahre räumten Fertigungsunternehmen der Software-Sicherheit eine wesentlich höhere Priorität ein. Es ist gut zu sehen, dass diese Maßnahme Früchte trägt und die Anzahl der Schwachstellen zurückgegangen ist – vor allem, wenn man das Aufkommen neuer Plattformen und IT-Umgebungen berücksichtigt“, so Chris Eng, Chief Research Officer bei Veracode. „Im vergangenen Jahr waren es noch 76 Prozent der Anwendungen im Fertigungsbereich, die Schwachstellen aufwiesen. 21 Prozent davon stuften wir als „schwerwiegend“ ein. Die Zahlen sind demnach merklich gesunken.“
Open-Source-Schwachstellen bleiben hartnäckig
Zwar weise der Fertigungsbereich den insgesamt geringsten Anteil an Schwachstellen auf, jedoch sei die Branche – ähnlich wie das Gesundheitswesen und der Tech-Bereich – nicht gut darin, identifizierte Mängel zu beseitigen. Besonders besorgniserregend: Produktionsunternehmen seien besonders langsam, wenn es darum geht, Schwachstellen zu beheben, die durch statische Analysen (SAST), dynamische Analysen (DAST) und Software Composition Analysis (SCA) aufgedeckt wurden. So blieben z.B. 55 Prozent aller durch SAST entdeckte Schwachstellen auch nach einem Jahr bestehen. Diesem Durchschnittswert hinke der Fertigungsbereich mit vier zusätzlichen Monaten deutlich hinterher.
Durch SCA entdeckte Schwachstellen in Libraries von Drittanbietern, so Veracode, bleiben über alle Branchen hinweg für lange Zeit unbehoben. Selbst nach zwei Jahren würden 30 Prozent der anfälligen Bibliotheken noch Mängel aufweisen. Im Fertigungsbereich steige dieser Wert sogar auf mehr als 40 Prozent an und liege damit mehr als sechs Monate hinter dem branchenübergreifenden Durchschnitt.
„Dieser Umstand lässt sich womöglich auf die Anzahl an hochspezialisierten Industrieanwendungen zurückführen, die zwar weniger, aber schwerer zu behebende Schwachstellen enthalten als in anderen Branchen. Dies unterstreicht einmal mehr, wie wichtig es ist, dass Produktionsunternehmen Schwachstellen frühzeitig erkennen und tilgen“, führt Eng weiter aus.
Verbreitete Schwachstellentypen im Verhältnis zu Programmiersprachen
Neben der Anzahl habe man auch Schwachstellentypen über alle Programmiersprachen hinweg durchleuchtet, die für Anwendungen im Fertigungsbereich zum Einsatz kommen – einschließlich Java, .NET und JavaScript. Veracode fand heraus, dass Serverkonfigurationen, ungesicherte Abhängigkeiten und Datenlecks zu den häufigsten Sicherheitslücken gehören.
Eng kommentiert abschließend: „Die Sicherheit von Unternehmen und kritischen Infrastrukturen ist überwiegend abhängig von der Absicherung der Software-Lieferkette. Dies lässt sich jedoch nur erreichen, indem man die Zusammensetzung und einzelne Bestandteile transparenter macht. Demnach müssen Produktionsunternehmen bereits in den frühen Phasen der Software-Entwicklung Sicherheitsmechanismen einbauen und entsprechende Tools verwenden, um eine Software Bill of Materials (SBOM) zu erstellen. Erst dann können sie sicherstellen, dass ihre Produkte weniger Schwachstellen und folglich ein geringeres Risikopotenzial aufweisen.“
(ID:48705635)
:quality(80)/images.vogel.de/vogelonline/bdb/1930600/1930680/original.jpg "Der aktuelle "State of Software Security Report" von Veracode zeigt, dass DevSecOps im Mainstream angekommen sind. (Veracode)")
:quality(80)/images.vogel.de/vogelonline/bdb/1947300/1947338/original.jpg "Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte. (Veracode)")