Kommentar zum State of Software Security Report Häufige Sicherheitsscans sind heute die Norm

Ein Gastkommentar von Julian Totzek-Hallhuber *

Häufige und regelmäßige Sicherheitsscans helfen dabei, Anwendungen abzusichern. Doch haben Unternehmen diesen Mehrwert mittlerweile erkannt? Julian Totzek-Hallhuber von Veracode stellt in diesem Fachbeitrag die wichtigsten Ergebnisse des zwölften jährlichen State-of-Software-Security-Reports vor.

Anbieter zum Thema

Der aktuelle SoSS-Report von Veracode zeigt, dass Unternehmen mehr testen und dabei auf einen Mix aus unterschiedlichen Scan-Arten zurückgreifen.
Der aktuelle SoSS-Report von Veracode zeigt, dass Unternehmen mehr testen und dabei auf einen Mix aus unterschiedlichen Scan-Arten zurückgreifen.
(© lassedesignen - stock.adobe.com)

Nutzer erwarten immer schnellere, einwandfrei funktionierende und sichere digitale Anwendungen. Dadurch wachsen sowohl die Innovations- als auch die Wettbewerbsanforderungen im Bereich der Softwareentwicklung stetig. Um mit diesem Tempo mithalten zu können, wenden sich Entwicklerteams nativen Cloud-Technologien, Microservices sowie Open-Source-Anwendungen zu. Daneben setzen sie verstärkt auf agile Methoden sowie auf Tools zur Prozessautomatisierung.

Bei all diesen Fortschritten steigt jedoch nicht nur die Komplexität, sondern auch das Risiko von Schwachstellen und Sicherheitslücken, die sich während des Entwicklungsprozesses in die Anwendungen schleichen können. Die beste Methode, um gegen dieses Risiko vorzugehen, stellen häufige und regelmäßige Scans mithilfe mehrerer verschiedener Scanmethoden dar. Die gute Nachricht ist: Bis heute konnte sich eine gewisse „Scan- und Testing-Mentalität“ in der Softwareentwicklung einstellen.

In der zwölften Ausgabe des jährlichen State-of-Software-Security-Berichts (SoSS) beleuchtet Veracode die aktuellen Entwicklungen im Bereich der Anwendungssicherheit genauer. Die Untersuchungsergebnisse umfassen Daten sowohl von mittelständischen als auch großen Unternehmen, kommerziellen Softwareanbietern und Open-Source-Projekten. Diese beruhen auf der Analyse von mehr als einer halben Million Anwendungen.

Der Shift zu technologischen Alternativen in der Anwendungsentwicklung

Entwicklerteams setzen zunehmend neue Technologien ein, um ihre Anwendungen zu entwickeln. Dies deutet die Anzahl neuer Anwendungen an, die sie heute durchschnittlich in einem Quartal auf Sicherheitslücken hin scannen. Innerhalb des letzten Jahrzehnts hat sich diese auf 17 erhöht - dreimal mehr als im Jahr 2010. Das lässt darauf schließen, dass sie ihre Anwendungen auf einer Architektur bestehend aus modularen Microservices aufbauen.

Die Verlagerung hin zu kleineren Anwendungen, die nur eine Aufgabe erfüllen, offenbart sich ebenfalls im Einsatz verschiedener Programmiersprachen: 2018 umfassten 20 Prozent der Anwendungen mehrere Sprachen. Dieser Anteil ist drei Jahre später auf fünf Prozent gesunken. Vor allem in Bezug auf JavaScript, Python und .NET ließ sich ein Rückgang der Anwendungsgröße feststellen.

Eine weitere Möglichkeit, um den Entwicklungsprozess zu beschleunigen, sehen Entwickler in (Third Party) Open Source Bibliotheken. Tatsächlich bestehen heute beispielsweise rund 97 Prozent der auf Java basierenden Anwendungen aus Open-Source-Bibliotheken. Entwickler sparen auf diese Weise Zeit, da sie nicht selbst sämtliche Funktionen entwickeln müssen, die der Open Source Code bereits unterstützt. Dennoch können auch Open Source Bibliotheken Schwachstellen aufweisen.

Die Anzahl solcher Lücken hat in den letzten drei Jahren abgenommen. 2017 wiesen noch 35 Prozent der Bibliotheken bekannte Mängel auf, heute sind es nur noch zehn Prozent. Auch der Zeitraum, in dem Schwachstellen in Open Source Bibliotheken identifiziert und behoben werden, hat sich verringert. 2017 brauchte es über drei Jahre, um das Fehlervolumen um 50 Prozent zu verringern. Heute nimmt diese Aufgabe etwa ein Jahr in Anspruch. Dabei bleiben 77 Prozent der Schwachstellen auch nach drei Monaten noch offen. Es besteht demnach noch Luft nach oben.

Effizientere Fehlerbehebung dank häufiger Scans

Da Anwendungen und Codes kontinuierlich bereitgestellt werden, sollten Entwickler ebenfalls das vielfältige Scannen mittels verschiedener Tools und Methoden in den laufenden Softwareentwicklungsprozess integrieren. Oberflächliche (Einzel-) Tests während der letzten Phase des Entwicklungszyklus reichen schlichtweg nicht mehr aus. Das Risiko, dass sich Fehler in das finale Produkt schleichen und die Anwendung somit anfällig für sicherheitsrelevante Vorfälle machen, ist zu groß.

Nach den letzten Jahren, in denen Veracode die Anwendungssicherheit in Unternehmen untersuchte, konnte sich jetzt ein klares Bild herauskristallisieren. Im Rahmen des aktuellen SoSS-Reports ließ sich feststellen, dass immer mehr Unternehmen und Softwareentwickler die Notwendigkeit erkennen, die von ihnen entwickelte Software auf fehlerhafte Codes und potenzielle Schwachstellen hin zu scannen.

Das kontinuierliche Testen wird immer mehr zur Norm. Unternehmen haben die Anzahl der durchgeführten Scans drastisch angehoben. Im Vergleich zu 2010 scannen sie ihre Anwendungen heute durchschnittlich 20-mal häufiger. Wohingegen sie 2010 durchschnittlich zwei bis drei Sicherheitstest durchgeführt haben, scannen sie heute 90 Prozent ihrer Anwendungen mehr als einmal die Woche. Die Mehrheit der Anwendungen wird durchschnittlich dreimal pro Woche einem Sicherheitsscan unterzogen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Mehrere unterschiedliche Scan-Arten bedeuten mehr Sicherheit

Für das Scannen und effiziente Aufspüren von Schwachstellen sind nicht nur häufige und regelmäßige Sicherheitstests, sondern auch mehrere Scanarten notwendig. Es geht dabei vor allem darum, sämtliche Anwendungskomponenten abzudecken und die Software auf diese Weise ganzheitlich abzusichern.

Unternehmen setzen heute verstärkt auf eine Kombination aus statischen und dynamischen Scans sowie Software Composition Analysis (SCA). Die Verbreitung eines solchen Scan-Mixes hat zwischen 2018 und 2021 um 31 Prozent zugenommen. Daraus ergibt sich zudem ein wesentlich kürzerer Zeitraum, in dem Unternehmen Schwachstellen beheben. Entwicklungsteams, die neben statischen Scans auch dynamische Scans durchführen, konnten Schwachstellen 24 Tage schneller beheben. Durch den Einsatz von SCA wurde die Zeit um weitere sechs Tage verkürzt.

Praxisorientierte Sicherheitstrainings nehmen eine entscheidende Rolle ein

Neben einer Verbesserung hinsichtlich der Scanfrequenz konnte Veracode einen Zusammenhang zwischen der Fehlerbehebungsrate und der Inanspruchnahme interaktiver, praxisorientierter Sicherheitstrainings feststellen. Entwickler, die an einem solchen Training teilnahmen und anhand von Live-Anwendungen und Praxisbeispielen geschult wurden, konnten die Hälfte der Sicherheitslücken um 35 Prozent schneller schließen.

Insgesamt verringert sich der Behebungszeitraum von durchschnittlich 170 Tagen bei Unternehmen, die keine Trainingskurse anbieten, auf 110 Tage – eine Einsparung von zwei Monaten. Da nur wenige Informationsstudiengänge das Thema Software Security vertieft behandeln, sollten Unternehmen die Weiterbildung ihrer Entwickler in diesem Bereich fördern. Dadurch erhöhen sich die Chancen, dass sie die Ursachen von Schwachstellen besser nachvollziehen und sie dadurch schneller beheben können.

Fazit

Die wachsende Vernetzung, der Innovations- und Wettbewerbsdruck sowie der Einsatz neuer Technologien unterstreichen die Notwendigkeit, Anwendungen mithilfe von Sicherheitsscans effizient abzusichern. Dabei dürfen Entwicklerteams die wichtigen Scanprozesse nicht nur auf die Endphase der Entwicklung beschränken, sondern sollten sie über den gesamten Entwicklungszyklus hinweg integrieren.

Julian Totzek-Hallhuber
Julian Totzek-Hallhuber
(Bild: Veracode)

Die Ergebnisse des aktuellen SoSS-Reports von Veracode zeigen, dass Unternehmen diesen Mehrwert erkannt haben. Sie führen im Vergleich zu den vergangenen zehn Jahren häufiger Sicherheitsscans durch. Dabei greifen sie zu einem Mix aus mehreren unterschiedlichen Scanarten, um sämtliche Anwendungsbereiche abzudecken. Und sie beschleunigen die Fehlerbehebung durch praktische Sicherheitsschulungen für ihre Entwicklungsteams.

* Julian Totzek-Hallhuber ist Senior Principal Solutions Architect bei Veracode.

(ID:48134367)