Veracode, ein führender Anbieter von intelligenten Software-Sicherheitslösungen, hat heute seine Studie „State of Software Security Report 2023“ veröffentlicht. Die Ergebnisse des Berichts zeigen, dass Anwendungen, die von Organisationen in Europa, dem mittleren Osten und Afrika entwickelt werden, tendenziell mehr Sicherheitslücken enthalten als ihre Pendants aus US-amerikanischer Entwicklung. Unter allen Regionen weist die EMEA-Region auch den höchsten Prozentsatz an Schwachstellen mit hohem Schweregrad auf. Das bedeutet, dass bei Ausnutzung einer Schwachstelle ein kritisches Problem in der jeweiligen Anwendung entstehen könnte. Denn eine hohe Anzahl von Fehlern und Schwachstellen in Software-Code korreliert mit einem erhöhten Sicherheitsrisiko. Es ist also nicht verwunderlich, dass Cyberangriffe auf die Software-Lieferkette im Jahr 2023 die Schlagzeilen beherrschen.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20230925708464/de/
Figure 1: Percent of applications that had a flaw found in their last scan over the last 12 months, by category. Lower numbers are better. (Graphic: Business Wire)
Marktforscher fanden heraus, dass knapp über 80 Prozent der von EMEA-Organisationen entwickelten Anwendungen bei ihrer letzten Überprüfung innerhalb von 12 Monaten mindestens eine Sicherheitslücke aufwiesen. In den USA war das bei 73 Prozent der Organisationen der Fall. Darüber hinaus war der Prozentsatz der Anwendungen, die Schwachstellen mit hohem Schweregrad enthielten, mit fast 20 Prozent in EMEA der höchste von allen Regionen weltweit.
„Unsere Daten zeigen, dass Unternehmen weltweit eine hohe Anzahl von Anwendungen mit vielen der CWE Top 25-Schwachstellen einsetzen“, sagte Chris Eng, Chief Research Officer bei Veracode. „Wir haben jedoch interessante regionale Unterschiede festgestellt, insbesondere in Bezug auf die Verwendung von Drittanbieter- oder Open-Source-Code und die Art und Weise, wie Schwachstellen über den gesamten Lebenszyklus einer Anwendung hinweg eingeführt werden“, so Eng weiter.
Die Analyse von Daten aus mehr als 27 Millionen Scans von 750.000 Anwendungen bilden die Basis des Berichts „State of Software Security“ von Veracode über den Status der Software-Sicherheit. In dieser neuen Studie werden die EMEA-spezifischen Ergebnisse dieser Scans und Anwendungen vorgestellt, einschließlich der Ergebnisse aus Großbritannien, Deutschland, Frankreich, Italien und dem gesamten Nahen Osten und Afrika.
Doch Zahlen allein zeigen nicht, welche Folgen die Ausnutzung von Software-Schwachstellen durch Hacker haben kann. Da Unternehmen in der gesamten EMEA-Region eine immer komplexere Mischung aus Software von Drittanbietern nutzen, kann die Ausnutzung einer schwerwiegenden Sicherheitslücke Tausende von Opfern gleichzeitig treffen. Zu Beginn dieses Jahres wurde eine Schwachstelle in den Drucksoftware-Tools PaperCut MF und PaperCut NG von Hackern aktiv ausgenutzt. Bis zu 70.000 Organisationen in 200 Ländern wurden zu potenziellen Opfern, und Strafverfolgungsbehörden zufolge gelang es Bedrohungsakteuren, damit Einrichtungen im Bildungssektor zu kompromittieren.
Java und Code von Drittanbietern bergen erhebliche Sicherheitslücken
Die Studie ergab bemerkenswerte regionale Unterschiede in der bevorzugten Sprachverwendung, wobei sich Java als die bevorzugte Sprache für Entwickler in EMEA herausstellte. Die Teams, die Java verwenden, beheben Schwachstellen langsamer als die Teams, die .NET oder JavaScript verwenden, was dazu führt, dass viele dieser Schwachstellen fortbestehen oder wesentlich länger unentdeckt bleiben. Da zudem über 95 Prozent der Java-Anwendungen aus Drittanbieter- oder Open-Source-Code bestehen, ist die Java-Nutzung ein Schlüsselfaktor für den höheren Prozentsatz an Sicherheitslücken in Anwendungen in der Region. Deswegen ist die Software Composition Analysis (SCA), die Schwachstellen in Open-Source-Code aufspürt, so wichtig. Die Studie zeigt auch, dass der Anteil der durch SCA gemeldeten Schwachstellen in EMEA höher ist als in anderen Regionen.
Da generative KI in der Softwareentwicklung immer mehr an Bedeutung gewinnt, steigt das Risiko von Schwachstellen aus externen Quellen. Eine auf der Black Hat im Jahr 2022 vorgestellte Studie zeigte Schwachstellen in 40 Prozent des Codes, der von generativer KI geschrieben wurde, die auf riesigen, nicht aufbereiteten Datenmengen, inklusive Millionen von öffentlichen GitHub Repositories, trainiert worden war. Daher ist es von entscheidender Bedeutung, dass Unternehmen SCA-Tools einsetzen, um Schwachstellen zu finden und zu beheben. So können Entwickler von den Vorteilen von KI profitieren, ohne die Sicherheit der Anwendungen zu gefährden.
Anwendungen werden mit der Zeit immer anfälliger
Laut der Studie treten neue Schwachstellen im Code in EMEA über den gesamten Lebenszyklus von Anwendungen hinweg in weitaus höherem Maße auf als in anderen Regionen auf. Zwar halten Unternehmen in der EMEA-Region ihre Anwendungen auf dem neuesten Stand, aber es wird weniger auf die Qualität geachtet. So weisen nach einem Zeitraum von fünf Jahren 50 Prozent der Anwendungen in der EMEA-Region nach wie vor neue Fehler auf. Weltweit ist das im Vergleich nur bei rund 30 Prozent der Fall. Insgesamt liegt die Wahrscheinlichkeit, dass in einem bestimmten Monat ein Fehler auftritt, bei 27 Prozent.
Für Unternehmen in der EMEA-Region wäre es daher von Vorteil, dem letzten Teil des Anwendungslebenszyklus mehr Aufmerksamkeit zu schenken und Anwendungen regelmäßiger zu scannen. Außerdem sollten sie der Sicherheitsschulung von Entwicklern Vorrang einräumen. Denn die Studie zeigt: Die Wahrscheinlichkeit, dass eine Schwachstelle auftritt, sinkt durch die Teilnahme an 10 interaktiven Sicherheitsübungen von 27 Prozent auf etwa 25 Prozent.
„Der diesjährige State of Software Security Report verdeutlicht, wie wichtig es ist, das Thema Sicherheit über den gesamten Software-Lebenszyklus hinweg im Auge zu behalten. Vor allem die Betrachtung der Risiken von Drittanbieter- und KI-generiertem Code spielt dabei eine bedeutende Rolle“, so Eng weiter. „Weltweit stellen wir immer noch eine besorgniserregende Anzahl von Schwachstellen fest – und in der EMEA-Region sind sie bei fast allen Erhebungen höher. Entwicklungsteams in EMEA sollten die Softwaresicherheit mit regelmäßigen Scans automatisieren und den Einsatz von KI-Tools sorgfältig prüfen, sowohl um die Sicherheit zu erhöhen als auch die Entwickler zu entlasten.“
Der Veracode State of Software Security EMEA 2023 empfiehlt Software-Entwicklungsteams vier Maßnahmen, um die Cybersicherheit zu verbessern. Die Studie steht auf der Veracode-Website zum Download bereit.
Der globale Veracode-Bericht „State of Software Security 2023“ steht hier zum Download bereit.
Über den State of Software Security Report
Die 13. Ausgabe des Jahresberichts von Veracode über den Stand der Softwaresicherheit untersucht die historischen Trends in der Softwarebranche und deren Auswirkungen auf die Sicherheitspraktiken. Die diesjährigen Ergebnisse basieren auf den vollständigen historischen Daten der Veracode-Dienste und -Kunden und bilden einen Querschnitt großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und Open-Source-Projekte. Der Bericht liefert Erkenntnisse zu Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die Cloud-basierte Plattform von Veracode unterzogen wurden.
Über Veracode
Veracode ist intelligente Softwaresicherheit. Die Veracode Software Security Plattform deckt in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Mängel und Schwachstellen auf. Gestützt auf leistungsstarke KI, die mit Billionen von Codezeilen trainiert wurde, können die Kunden von Veracode Mängel schneller und präzise beheben. Veracode genießt das Vertrauen von Sicherheitsteams, Entwicklern und Topmanagern von Tausenden führenden globalen Unternehmen und ist der Pionier, der die Bedeutung von intelligenter Softwaresicherheit ständig neu definiert.
Copyright © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier zitierten Marken sind Eigentum ihrer jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20230925708464/de/