Suchen

11. State of Software Security Report von Veracode Viele Sicherheitslücken, langwierige Fehlerbehebung

Redakteur: Stephan Augsten

Gut drei Viertel aller Anwendungen haben mindestens eine Schwachstelle. Dies ist eine zentrale Aussage des elften „State of Software Security“- oder kurz SOSS-Reports von Veracode. Die Hälfte aller aufgedeckten Anfälligkeiten wird zudem erst nach einem halben Jahr geschlossen.

Im elften Report zum Stand der Software-Sicherheit geh Veracode unter anderem auf sprachspezifische Schwachstellen ein.
Im elften Report zum Stand der Software-Sicherheit geh Veracode unter anderem auf sprachspezifische Schwachstellen ein.
(Bild: Veracode)

Die Ausgangsbasis für die Application-Security-Studie von Veracode bildeten in diesem Jahr 130.000 Anwendungen. Diese wurden über einen Zeitraum von 12 Monate mit den Hersteller-eigenen Lösungen gescannt, fanden sich also bei Kunden rund um den Globus.

Neben der Erkenntnis, dass 76 Prozent aller Applikationen mindestens eine Sicherheitslücke vorwies, ist ein weiterer Aspekt besonders interessant: Bei knapp einem Drittel aller untersuchten Anwendungen wiesen Drittanbieter-Komponenten mehr Probleme auf als der native, also selbst erstellte Code.

In diesem Jahr hat Veracode außerdem untersucht, wie sich die Wahl der Programmiersprache auf die Software-Sicherheit auswirkt. Das Interessante an der Sprachaufteilung sei die Tatsache gewesen, dass der häufigste Fehlertyp von Sprache zu Sprache variiert. Die verbreitetste Anfälligkeit in .NET-Anwendungen war Information Leakage, während PHP-Anwendungen häufig von Cross-Site-Scripting und Java-Applikationen von „Carriage Return/Line Feed“-, kurz CRLF-Injections betroffen sind.

Gleichsam habe Veracode im SOSS-Report 2020 auch mögliche Maßnahmen identifiziert, die sich signifikant positiv auf die Software-Sicherheit auswirken sollen. So verkürzten beispielsweise häufiges Scannen, die Verwendung von mehr als einem Testtyp und das Scannen über APIs in der Hälfte der Security-Scans die Zeit bis zu deren Abschluss um mehrere Wochen.

Weitere Informationen finden Interessierte im Veracode-Report „State of Software Security v11“.

(ID:46962622)