Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen 24 Prozent der Anwendungen im Technologiebereich Sicherheitslücken auf, die als „schwerwiegend“ eingestuft werden - im Falle eines Cyber-Angriffs würden sie damit ein kritisches Problem darstellen.
Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports analysierte Veracode 20 Millionen Scans von einer halben Million Anwendungen in den folgenden Branchen: Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden.
Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent. Was den Anteil der behobenen Schwachstellen angeht, landet die Tech-Branche im Mittelfeld.
Technologieunternehmen beheben Software-Sicherheitslücken vergleichsweise schnell
Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden.
Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.
Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten.
Chris Eng, Chief Research Officer bei Veracode, sagt: „Indem wir Entwicklern eine echte hands-on Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann - und wie sie sich auf die Anwendung auswirken kann -, schaffen wir den Kontext und das Verständnis, um ihr Gespür für Software-Sicherheit zu entwickeln."
„Unsere Untersuchungen haben ergeben, dass Unternehmen, deren Entwickler nur eine Lektion in unseren Security Labs-Schulungsprogramm absolviert hatten, 50 Prozent der Schwachstellen zwei Monate schneller behoben haben als Unternehmen ohne eine solche Schulung."
Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt.
Umgekehrt weist der Sektor die größte Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.
Eng fügt hinzu: „Die Zero-Day-Schachstelle Log4j im vergangenen Dezember war für viele Unternehmen ein Weckruf. Es folgten Maßnahmen der Regierung in Form von Leitlinien des Office of Management and Budget (OMB) und des European Cyber Resilience Act, die beide einen Schwerpunkt auf die Lieferkette legen."
„Um die Leistung im kommenden Jahr zu verbessern, sollten Technologieunternehmen nicht nur Strategien in Betracht ziehen, die Entwicklern dabei helfen, die Rate der in den Code eingebrachten Fehler zu reduzieren, sondern auch einen größeren Schwerpunkt auf die Automatisierung von Sicherheitstests in der Continuous Integration/Continuous Delivery (CI/CD)-Pipeline legen, um die Effizienz zu steigern."