Die 15. Ausgabe des „State of Software-Security-Reports“, der auf einem umfangreichen Datensatz von 1,3 Millionen einzelnen Anwendungen und 126,4 Millionen Rohdaten basiert, hebt wichtige Trends hervor. Er eröffnet einen neuen Blick auf den Reifegrad von Softwaresicherheit, um das Risikomanagement von Anwendungen zu verbessern.
Die Studie zeigt einen alarmierenden Anstieg der durchschnittlichen Behebungszeit für Sicherheitslücken in Software – von 171 Tagen auf 252 Tage in den letzten fünf Jahren, das sind 47 Prozent länger, und um 327 Prozent seit der ersten Ausgabe des Berichts vor 15 Jahren.
Darüber hinaus haben 50 Prozent der Unternehmen mittlerweile kritische Sicherheitsschulden, die als angesammelte Schwachstellen definiert sind, die länger als ein Jahr unbehoben bleiben. Die meisten dieser Schwachstellen stammen aus dem Code von Drittanbietern und der Software-Lieferkette. Ungelöste Sicherheitsmängel machen Unternehmen angreifbar und setzen sie finanziellen, betrieblichen und Reputations-Schäden aus.
Chris Wysopal, Chief Security Evangelist bei Veracode, sagt: „Die Angriffsfläche ist zunehmend komplizierter geworden, insbesondere in den letzten Jahren mit der explosionsartigen Zunahme von KI-Technologie. Im letztjährigen Bericht wurde festgestellt, dass 46 Prozent der Unternehmen eine hochgradige Sicherheitsschuld haben. Auch wenn der Anstieg im Vergleich zum Vorjahr marginal erscheinen mag, geht er in die falsche Richtung. Unsere Untersuchungen liefern solide Beweise dafür, dass Unternehmen diese Schulden verringern können. Aber viele brauchen Hilfe, um Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.“
Benchmark der Sicherheitsleistungsfähigkeit
Die Untersuchung von Veracode analysierte auch die Verteilung der Sicherheitsschulden in Unternehmen. Während einige fast keine Sicherheitsschulden haben und andere darin ertrinken, liegen die meisten irgendwo dazwischen, mit einer Mischung aus ‚schuldenfreien‘ und ‚schuldbehafteten‘ Anwendungen.
„Die Kluft zwischen den besten 25 Prozent und den schlechtesten 25 Prozent der Unternehmen ist faszinierend“, so Wysopal. „Die Ergebnisse werfen die Frage auf, welche Faktoren für die deutlichen Unterschiede im Umgang mit Sicherheitsschulden in Software verantwortlich sind und was die Entwickler- und Sicherheitsteams tun können, um sie zu beseitigen.“
Die Untersuchung von Veracode zeigt fünf Schlüsselkennzahlen auf, die den Reifegrad von Softwaresicherheit anzeigen und die Fähigkeit eines Unternehmens zur systematischen Risikominderung vorhersagen: Häufigkeit von Schwachstellen, Behebungskapazität, Behebungsgeschwindigkeit, Häufigkeit von Sicherheitsschulden und Open-Source-Schulden.
Der Bericht erläutert die Bedeutung jeder Kennzahl und zeigt die Parameter auf, die bestimmen, ob ein Unternehmen in Sachen Softwaresicherheit gut oder schlecht aufgestellt ist.
- Fehlerhäufigkeit: Gut aufgestellte Unternehmen weisen in weniger als 43 Prozent der Anwendungen Fehler auf, während Unternehmen mit Rückstand bei über 86 Prozent liegen.
- Behebungskapazität: Führende Unternehmen beheben monatlich mehr als 10 Prozent der Schwachstellen. Nachzügler beheben weniger als 1 Prozent.
- Behebungsgeschwindigkeit: Leistungsstarke Unternehmen beheben die Hälfte der Schwachstellen innerhalb von fünf Wochen. Leistungsschwächere Unternehmen hingegen benötigen länger als ein Jahr.
- Häufigkeit von Sicherheitslücken: Weniger als 17 Prozent der Anwendungen in gut aufgestellten Unternehmen weisen Sicherheitsmängel auf, Unternehmen mit Rückstand mehr als 67 Prozent.
- Open-Source-Schulden: Führende Unternehmen halten den Anteil der kritischen Open-Source-Schulden unter 15 Prozent, während in schlecht aufgestellten Unternehmen 100 Prozent der kritischen Schulden Open-Source-Schulden sind.
Wysopal meint: „Die Studie gibt Unternehmen einen hilfreichen Rahmen, um die Sicherheitsreife ihrer Anwendungen zu bewerten. So können sie die spezifischen Faktoren verstehen, die zu Sicherheitsschulden in ihrer Software beitragen, die Bedeutung jeder einzelnen Kennzahl einschätzen und ihre eigene Leistung mit der ähnlicher Organisationen vergleichen. Außerdem geben unsere Experten und führende Unternehmen Empfehlungen, wie sie sich verbessern können.“
Cyber-Regulierung erhöht die Anwendungssicherheit
Positiv zu vermerken ist, dass die Zahl der Anwendungen, die die Top 10 des Open Worldwide Application Security Project (OWASP) bestehen, in den letzten fünf Jahren um 63 Prozent gestiegen ist und sich in 15 Jahren mehr als verdoppelt hat. Neue Cybersicherheitsregulierung von 2024 wie die U.S. Securities and Exchange Commission (SEC) Rules und der E.U. Cyber Resilience Act haben zu diesem Trend beigetragen. Denn Softwareanbieter verfolgen so einen disziplinierteren Ansatz beim Risikomanagement.
Eine neue Sichtweise auf den Reifegrad von Softwaresicherheit
Die neue Sichtweise von Veracode auf den Reifegrad von Softwaresicherheit unterstreicht die Notwendigkeit für Unternehmen, einen strategischen, kontextbezogenen Ansatz zu verfolgen, um die dringendsten Risiken zu bewältigen. Der Bericht empfiehlt den Unternehmen zwei Hauptschwerpunkte: Erstens müssen Unternehmen die Transparenz und Integration über den gesamten Lebenszyklus der Softwareentwicklung hinweg verbessern, indem sie Automatisierungs- und Feedbackschleifen nutzen, um neue Sicherheitslücken zu vermeiden. Zweitens sollten sie die Korrelation und Kontextualisierung von Sicherheitsergebnissen in einer einzigen Ansicht priorisieren, damit sie ihren Sicherheitsrückstand effizient abarbeiten und die größten Risiken mit dem geringsten Aufwand reduzieren können.
Wysopal fügt hinzu: „Tools wie Application Security Posture Management ermöglichen es Sicherheitsexperten und Entwicklungsteams, Prioritäten zu setzen und fundierte Entscheidungen zu treffen. Denn sie zeigen auf, welche Lücken ausnutzbar sind und was erreichbar sowie dringend ist.“
Komplexe Bedrohungslandschaft
Da sich Unternehmen in einer zunehmend komplexen Bedrohungslandschaft bewegen, ist die Priorisierung der Sicherheitsreife von entscheidender Bedeutung. Die Studie von Veracode gibt Unternehmen einen Fahrplan, um ihre Sicherheitslage zu bewerten und zu verbessern. Durch die Behebung von Sicherheitsmängeln und die Nutzung der besten Tools und Praktiken können Unternehmen ihre Widerstandsfähigkeit erhöhen, Risiken reduzieren und die sich entwickelnden Cybersicherheitsvorschriften einhalten.
Mehr bei Veracode.com
Über Veracode
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit.
Passende Artikel zum Thema