Ein Viertel aller Anwendungen in der Tech-Branche enthält „schwerwiegende“ Sicherheitslücken

Die Tech-Branche ist jedoch führend bei der Behebung von Sicherheitslücken, sobald diese entdeckt werden. [...]

Foto: NenadMaric/Pixabay

Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen 24 Prozent der Anwendungen im Technologiebereich Sicherheitslücken auf, die als „schwerwiegend“ eingestuft werden – im Falle eines Cyber-Angriffs würden sie damit ein kritisches Problem darstellen.

Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports analysierte Veracode 20 Millionen Scans von einer halben Million Anwendungen in den folgenden Branchen: Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden.

Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent. Was den Anteil der behobenen Schwachstellen angeht, landet die Tech-Branche im Mittelfeld.

Technologieunternehmen beheben Software-Sicherheitslücken vergleichsweise schnell

Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden.

Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.

Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten.

Chris Eng, Chief Research Officer bei Veracode, sagt: „Indem wir Entwicklern eine echte hands-on Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann – und wie sie sich auf die Anwendung auswirken kann -, schaffen wir den Kontext und das Verständnis, um ihr Gespür für Software-Sicherheit zu entwickeln.

Unsere Untersuchungen haben ergeben, dass Unternehmen, deren Entwickler nur eine Lektion in unseren Security Labs-Schulungsprogramm absolviert hatten, 50 Prozent der Schwachstellen zwei Monate schneller behoben haben als Unternehmen ohne eine solche Schulung.“

Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt.

Umgekehrt weist der Sektor die größte Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.

Eng fügt hinzu:

„Die Zero-Day-Schachstelle Log4j im vergangenen Dezember war für viele Unternehmen ein Weckruf. Es folgten Maßnahmen der Regierung in Form von Leitlinien des Office of Management and Budget (OMB) und des European Cyber Resilience Act, die beide einen Schwerpunkt auf die Lieferkette legen. Um die Leistung im kommenden Jahr zu verbessern, sollten Technologieunternehmen nicht nur Strategien in Betracht ziehen, die Entwicklern dabei helfen, die Rate der in den Code eingebrachten Fehler zu reduzieren, sondern auch einen größeren Schwerpunkt auf die Automatisierung von Sicherheitstests in der Continuous Integration/Continuous Delivery (CI/CD)-Pipeline legen, um die Effizienz zu steigern.“

Der Veracode State of Software Security v12 Technology Snapshot kann hier heruntergeladen werden.
Der vollständige Bericht ist hier verfügbar.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*