Suchen

Veracode-Prognosen zur Anwendungssicherheit 2020 Mehr Komplexität, Open Source und DevSecOps

| Autor / Redakteur: Julian Totzek-Hallhuber * / Stephan Augsten

Für den Report „State of the Software Security“ erfasst Veracode alljährlich diverse Zahlen zur Software- und Applikationssicherheit. Die Analysen lassen zum Jahreswechsel auch Rückschlüsse auf die Security-Trends und -Bedrohungen der kommenden Monate und Jahre zu.

Firmen zum Thema

Julian Totzek-Hallhuber hat drei Prognosen zur Anwendungssicherheit im Jahr 2020 im Köcher.
Julian Totzek-Hallhuber hat drei Prognosen zur Anwendungssicherheit im Jahr 2020 im Köcher.
(Bild: Veracode)

Der jährlich erscheinende State of the Software Security (SoSS) Report widmet sich der Frage, wie sich die Sicherheit von Software und Applikationen im Laufe der letzten Jahre entwickelt hat, und fasst den aktuellen Ist-Stand zusammen.

Doch welche Trends zeichnen sich für die kommenden Jahre ab und auf welche Weise sollten Unternehmen auf die Veränderungen reagieren? Einen Ausblick geben die folgenden drei Prognosen zur Anwendungssicherheit im Jahr 2020.

1. Komplexe Applikationen + neue Technologien = höheres Fehlerrisiko

Codes, auf denen Software und Applikationen aufbauen, werden stetig umgeschrieben oder erweitert, da Unternehmen ihre Angebote an die Bedürfnisse ihrer Kunden anpassen müssen. Jede neue Veränderung bedeutet aber auch, dass die Applikationen dadurch angreifbar werden. Somit steigt das Risiko, dass sich Fehler und Bugs einschleichen und damit die Sicherheit der jeweiligen Anwendung – oder sogar des Unternehmens – gefährden.

In Zukunft wird mit der steigenden Anzahl an Applikationen, deren wachsender Komplexität, der Verwendung neuer Technologien, wie dem Internet of Things (IoT), und dem Aufkommen immer mehr Kleinstanwendungen, auch die Frage nach der Gewährleistung der Anwendungssicherheit immer drängender.

Der aktuelle State of Software Security Report hat ergeben, dass Fehler zwar schnell behoben werden, sobald sie erkannt werden. Doch da viele Fehler über den Tisch fallen, zieht sich der Zeitraum, nach dem eine Applikation als fehlerfrei gilt, beträchtlich in die Länge.

2. Open Source erfreut sich größerer Beliebtheit

Ein weiterer Faktor, den man nicht außer Acht lassen darf, sind Open-Source-Komponenten und Third Party Software, auf die sich Unternehmen bei der Entwicklung von Anwendungen stützen. Zukünftig wird sich das Open-Source-Angebot und damit auch dessen Einsatz vergrößern, wohingegen die Nutzung von First Party Software weiter sinkt. Es wird unmöglich sein, die Sicherheitsüberprüfung manuell vorzunehmen.

Der Schlüssel ist es, durch Vollautomatisierung die Geschwindigkeit beim Erkennen und Beheben von Fehlern und potenziellen Gefahren und die Quantität von Application Security Testings zu steigern. Je öfter eine App während des gesamten Entwicklungszyklus hinweg auf Fehler geprüft wird, desto schneller und flexibler können Teams folglich in der Behebung ebendieser reagieren.

3. Anwendungssicherheit rückt mehr in den Fokus

Viele Unternehmen wenden zur Optimierung ihrer Softwareentwicklung DevOps an. Dieses Modell hat sich mittlerweile in der IT fest etabliert. Doch kommt beim immer kürzer werdenden Entwicklungszyklen des klassischen DevOps der Sicherheitsaspekt zu kurz.

DevSecOps schließt die Sicherheitsverantwortlichen in die Zusammenarbeit von Operations und Development ebenfalls mit ein und soll gewährleisten, dass während der kurzen Inkremente die fertigen Codes zu jeder Zeit getestet werden können. Für die Zukunft kann ein deutlicher Trend identifiziert werden: Unternehmen planen, dieses Modell in ihre Softwareentwicklung zu implementieren.

Doch eine Blaupause – einen Masterplan – für DevSecOps gibt es nicht. Mit dieser Umstellung ist ein Wandel in der Unternehmenskultur und die Umsetzung von bestimmten Entwicklungsprozessen verbunden, wovor sich viele Unternehmen heute immer noch scheuen. 2020 soll das Jahr werden, in dem Entwickler die Sicherheit ihrer Software und Applikationen noch mehr in den Mittelpunkt stellen werden.

* Julian Totzek-Hallhuber ist Solution Architect bei Veracode.

(ID:46291089)