11. State of Software Security Report von Veracode Viele Sicherheitslücken, langwierige Fehlerbehebung

Redakteur: Stephan Augsten

Gut drei Viertel aller Anwendungen haben mindestens eine Schwachstelle. Dies ist eine zentrale Aussage des elften „State of Software Security“- oder kurz SOSS-Reports von Veracode. Die Hälfte aller aufgedeckten Anfälligkeiten wird zudem erst nach einem halben Jahr geschlossen.

Anbieter zum Thema

Im elften Report zum Stand der Software-Sicherheit geh Veracode unter anderem auf sprachspezifische Schwachstellen ein.
Im elften Report zum Stand der Software-Sicherheit geh Veracode unter anderem auf sprachspezifische Schwachstellen ein.
(Bild: Veracode)

Die Ausgangsbasis für die Application-Security-Studie von Veracode bildeten in diesem Jahr 130.000 Anwendungen. Diese wurden über einen Zeitraum von 12 Monate mit den Hersteller-eigenen Lösungen gescannt, fanden sich also bei Kunden rund um den Globus.

Neben der Erkenntnis, dass 76 Prozent aller Applikationen mindestens eine Sicherheitslücke vorwies, ist ein weiterer Aspekt besonders interessant: Bei knapp einem Drittel aller untersuchten Anwendungen wiesen Drittanbieter-Komponenten mehr Probleme auf als der native, also selbst erstellte Code.

In diesem Jahr hat Veracode außerdem untersucht, wie sich die Wahl der Programmiersprache auf die Software-Sicherheit auswirkt. Das Interessante an der Sprachaufteilung sei die Tatsache gewesen, dass der häufigste Fehlertyp von Sprache zu Sprache variiert. Die verbreitetste Anfälligkeit in .NET-Anwendungen war Information Leakage, während PHP-Anwendungen häufig von Cross-Site-Scripting und Java-Applikationen von „Carriage Return/Line Feed“-, kurz CRLF-Injections betroffen sind.

Gleichsam habe Veracode im SOSS-Report 2020 auch mögliche Maßnahmen identifiziert, die sich signifikant positiv auf die Software-Sicherheit auswirken sollen. So verkürzten beispielsweise häufiges Scannen, die Verwendung von mehr als einem Testtyp und das Scannen über APIs in der Hälfte der Security-Scans die Zeit bis zu deren Abschluss um mehrere Wochen.

Weitere Informationen finden Interessierte im Veracode-Report „State of Software Security v11“.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:46962622)