Veracode veröffentlichte kürzlich seinen jährlichen State of Software Security (SoSS) 2024 Report. Im Fokus des diesjährigen Berichts steht das drängende Problem der sogenannten Sicherheitsschulden in Applikationen. Sicherheitsschulden sind Fehler im Code, die länger als ein Jahr nicht gefixt wurden. Sie existieren in 42 Prozent der Anwendungen und in 71 Prozent der Unternehmen.
Besorgniserregend ist, dass 46 Prozent der Unternehmen langanhaltend schwere Sicherheitsfehler in ihren Anwendungen haben, die kritische Sicherheitsschulden erzeugen. Dadurch sind sie schwerwiegenden Sicherheitsrisiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit ausgesetzt. Gemäß dem Bericht haben rund 63 Prozent der Applikationen Fehler in First-Party Code, und 70 Prozent in Third-Party Code.
Letztere werden aus Third-Party-Libraries importiert. Das zeigt, wie wichtig es ist, beide Code-Typen während des ganzen Software-Entwicklungs-Lifecycles zu testen. Auch gibt es Unterschiede bei der Fehlerbeseitigung je nach Fehlerart. So dauert es 50 Prozent länger, Third-Party-Fehler zu fixen: Die Hälfte dieser Fehler wird erst nach 11 Monaten behoben, bei First-Party-Code bereits nach sieben Monaten.
Es gibt allerdings auch gute Neuigkeiten: schwerwiegende Softwarefehler in Applikationen sind seit 2016 um die Hälfte geschrumpft – es gibt also Fortschritte in Bezug auf Software-Sicherheit. Die Geschwindigkeit, mit der gegen Fehler vorgegangen wird, ist entscheidend in Bezug auf kritische Sicherheitsschulden.
Entwickler-Teams, die Fehler am schnellsten beseitigen, reduzieren kritische Sicherheitsschulden um 75 Prozent – von 22,4 Prozent der Anwendungen auf knapp über fünf Prozent. Außerdem ist die Wahrscheinlichkeit, dass diese schnell agierenden Teams kritische Sicherheitsmängel in ihren Anwendungen überhaupt erst entstehen lassen, viermal geringer.
Chris Eng, Chief Research Officer bei Veracode, sagt: "Auch wenn wir kontinuierliche Verbesserungen in der Sicherheitslandschaft sehen – diese Ergebnisse sind ein Weckruf für Unternehmen, ihre Sicherheitsschulden zu adressieren. Es gilt, Fehler in Code zu beheben, auf Third-Party-Code Sicherheit zu fokussieren und effiziente Entwicklungspraktiken zu übernehmen. So können Unternehmen Sicherheitsschulden signifikant reduzieren und den Gesamtzustand ihrer Software-Sicherheit verbessern."
KI und die Software Supply Chain
In einem Zeitalter, in dem KI (Künstliche Intelligenz) die Software-Entwicklung rasant revolutioniert, zeigt der Bericht einen bedenklichen Trend auf. Chris Eng weiter: “KI beschleunigt zwar die Software-Entwicklung und erhöht ihre Effizienz, doch das bedeutet nicht zwangsweise, dass sicherer Code produziert wird. Eine Untersuchung hat gezeigt, dass 36 Prozent des von GitHub CoPilot generierten Codes Sicherheitslücken aufweisen.”
Diese Ausbreitung von unsicherem Code in großem Ausmaß stellt ein signifikantes Risiko für Unternehmen und die Software Supply Chain dar und führt zur Ansammlung von Sicherheitsschulden über die Zeit.
Risikopriorisierung ist ein Muss
Die Untersuchung von Veracode ergab auch, dass die Kapazitäten der Entwickler-Teams zur Behebung der Fehler im Code begrenzt sind. Nur bei 64 Prozent der Anwendungen reichen die Kapazitäten aus, um kritische Sicherheitsschulden zu beseitigen. Tatsächlich weisen nur zwei von zehn Anwendungen eine durchschnittliche monatliche Behebungsrate auf, die zehn Prozent aller Sicherheitslücken übersteigt.
Dies deutet darauf hin, dass selbst wenn die Kapazität der Teams ausreicht, kritische Schwachstellen nicht priorisiert werden. Trotzdem gibt es Hoffnung auf Erfolg. Nur drei Prozent aller Schwachstellen sind kritische Sicherheitsschulden, wobei diese Untergruppe das größte Risiko für Anwendungen darstellt. Durch die Priorisierung dieser drei Prozent können Unternehmen mit gezielten Maßnahmen eine maximale Risikominderung erreichen.
Chris Eng meint abschließend: "KI ebnet auch den Weg für eine neue Dimension der Softwaresicherheit. Sie versetzt Unternehmen in die Lage, Abhilfemaßnahmen zu skalieren und den langen Rückstau an Sicherheitsmängeln sowie neu auftretende Schwachstellen leichter zu beheben. Die große Mehrheit der CWEs (Common Weakness Enumeration) mit einem Schweregrad von mittel bis sehr hoch kann durch KI-generierte Code-Edits von Veracode Fix behoben werden.”