Veracode
04.12.2017, 09:40 Uhr
State-of-Software-Security-Report
Der Entwicklerguide untermauert mit neuen Daten aus der CA Veracode-Plattform, dass anfällige Open-Source-Komponenten ein allgegenwärtiges Risiko bedeuten. Bei Entwicklern besteht in diesem Bereich noch immer hoher Trainings- und Unterstützungsbedarf.
Besonders beunruhigend: 91 Prozent aller Java-Anwendungen, die Struts-Komponenten enthalten, basieren auf einer Version des Frameworks mit mindestens einer kritischen oder sogar besonders kritischen Schwachstelle.
Weitere Erkenntnisse der Veracode-Studie sind:
Entwickler unterschätzen Fehler im Code: Auch in diesem Jahr fallen 70 Prozent der Anwendungen durch, wenn sie erstmals einen Veracode-Sicherheitsscan durchlaufen.
Quelloffene Softwarekomponenten als Risikoquelle: Entwickler greifen auf immer mehr Microservices zurück, um ihre Arbeit zu beschleunigen. Dabei bergen gerade Open-Source-Komponenten allerdings oft Risiken und Schwachstellen, wie der State-of-Software-Security-Report zeigt. 88 Prozent der im vergangenen Jahr überprüften Java-Anwendungen wiesen mindestens einen Angriffspunkt auf, dem eine ihrer Komponenten zugrunde lag.
Hand in Hand mit Security zu enormen Sicherheitsgewinnen: In modernen DevOps-Teams führen zumeist die Entwickler selbst die Sicherheitstests für ihre Anwendungen durch, um Fehler direkt zu beseitigen. Suchen sie in Bezug auf die Schwachstellen aktiv den Rat ihrer Security-Kollegen, so können sie ihre Bugfix-Rate um sage und schreibe 87,6 Prozent verbessern.
Ein knappes Drittel der für die Studie untersuchten Anwendungen waren mit .NET geschrieben (32,7 Prozent). In der Übersichtsgrafik, siehe Bild, liegt .NET im blauen Bereich mit moderaten Risiken. Auffällig im roten, also gefährlichen Bereich zu finden sind PHP-Anwendungen, Andoid und Cold Fusion. Besonders bedroht durch Cross-Site-Scripting sind alte VB6-Anwendungen, iOS-Anwendungen weisen im Bereich SQL-Injection einen deutlich roten Balken auf.
Den gesamten Entwicklerguide zum SoSS-Report finden Sie hier.
Weitere Erkenntnisse der Veracode-Studie sind:
Entwickler unterschätzen Fehler im Code: Auch in diesem Jahr fallen 70 Prozent der Anwendungen durch, wenn sie erstmals einen Veracode-Sicherheitsscan durchlaufen.
Quelloffene Softwarekomponenten als Risikoquelle: Entwickler greifen auf immer mehr Microservices zurück, um ihre Arbeit zu beschleunigen. Dabei bergen gerade Open-Source-Komponenten allerdings oft Risiken und Schwachstellen, wie der State-of-Software-Security-Report zeigt. 88 Prozent der im vergangenen Jahr überprüften Java-Anwendungen wiesen mindestens einen Angriffspunkt auf, dem eine ihrer Komponenten zugrunde lag.
Hand in Hand mit Security zu enormen Sicherheitsgewinnen: In modernen DevOps-Teams führen zumeist die Entwickler selbst die Sicherheitstests für ihre Anwendungen durch, um Fehler direkt zu beseitigen. Suchen sie in Bezug auf die Schwachstellen aktiv den Rat ihrer Security-Kollegen, so können sie ihre Bugfix-Rate um sage und schreibe 87,6 Prozent verbessern.
Ein knappes Drittel der für die Studie untersuchten Anwendungen waren mit .NET geschrieben (32,7 Prozent). In der Übersichtsgrafik, siehe Bild, liegt .NET im blauen Bereich mit moderaten Risiken. Auffällig im roten, also gefährlichen Bereich zu finden sind PHP-Anwendungen, Andoid und Cold Fusion. Besonders bedroht durch Cross-Site-Scripting sind alte VB6-Anwendungen, iOS-Anwendungen weisen im Bereich SQL-Injection einen deutlich roten Balken auf.
Den gesamten Entwicklerguide zum SoSS-Report finden Sie hier.
