Top-Trends im Bereich Software Security

1. Hyper-Automatisierung etabliert sich in der Softwareentwicklung. Die Geschwindigkeit, mit der Software entwickelt und auf den Markt gebracht wird, nimmt immer weiter zu. Unternehmen – und im Speziellen die Entwicklerteams – müssen sich nicht mehr nur gegenüber Wettbewerbern behaupten, sie müssen zudem in kürzester Zeit innovativ sein und den Entwicklungsprozess beschleunigen, um Nutzererwartungen gerecht zu werden.

Unternehmen werden daher vermehrt so viele Prozesse wie möglich automatisieren. Pipeline-Automatisierung und DevOps zum Beispiel werden dann nicht mehr nur ein "Nice-to-have", sondern ein "Must-have" sein. Obwohl viele Unternehmen dank DevSecOps mittlerweile agiler entwickeln können, wird dem Thema Anwendungssicherheit eine noch größere Bedeutung zukommen. Durch einen stärkeren "Shift-Left"-Ansatz rückt der Sicherheitsaspekt weiter in die frühen Stadien des Entwicklungszyklus vor. Gleichzeitig werden immer mehr Aufgaben in der Softwareentwicklung von KI- und ML-basierten Lösungen übernommen wie zum Beispiel das Aufspüren von Schwachstellen, die Fehlerbeseitigung und Threat Modelling.

2. Anwendungen werden auf ihre Kleinstbestandteile heruntergebrochen. Softwareentwickler bauen ihre Anwendungen zunehmend auf einer Microservice-Architektur auf. Auf diese Weise können sie einzelne kleine "Anwendungsblöcke", die nur eine einzige Funktion haben, für andere Anwendungen wiederverwerten. Der Einsatz von APIs zur Integration von Microservices ist daher wichtiger denn je.

Doch APIs können Schwachstellen in Form einer lückenhaften Authentifizierung, ausnutzbaren Injections oder Fehlkonfigurationen aufweisen. Ohne die richtigen Sicherheitsmaßnahmen können Cyber-Kriminelle diese gezielt ausnutzen. Laut dem aktuellen "State of Software Security Report" von Veracode wird der Missbrauch von APIs künftig sogar zu einem der größten Angriffsvektoren heranwachsen.

3. Entwickler setzen zunehmend auf Open Source Code. Entwicklerteams greifen zunehmend auf Open-Source-Bibliotheken zurück, um ihren Entwicklungsprozess zu beschleunigen. Im Rahmen der 11. State of Software Security Studie konnte Veracode feststellen, dass herkömmliche Java-Anwendungen zu 97 Prozent aus Open Source Code bestehen. Doch Sicherheitsvorfälle wie SolarWinds haben gezeigt, dass Open-Source-Bibliotheken nicht zu hundert Prozent fehlerfrei sind – ein Grund mehr, jede Anwendungskomponente einem Sicherheitsscan zu unterziehen.

Laut dem aktuellen Bericht "State of Software Security: Open-Source Edition" verzichten Entwicklerteams häufig auf das Testen von Open Source Code. In 79 Prozent der Fälle updaten sie den Code selbst nachdem sie ihn in Anwendungen verwenden nicht. Dadurch bleiben kritische Schwachstellen im Endprodukt bestehen – rund ein Drittel der Anwendungen weisen mehr Mängel im Open Source Code auf als im selbstgeschriebenen Code-Anteil. Daher müssen Entwickler regelmäßige Scans und Updates von Open-Source-Bibliotheken priorisieren, um das Sicherheitsrisiko zu minimieren.

4. Neue Policies treten in Kraft, um für höhere Cyber-Sicherheit zu sorgen. Um das Sicherheitsrisiko innerhalb der Software Supply Chain zu senken, wird sich die Politik zunehmend auf die Umsetzung von Richtlinien und die Erhöhung von Sicherheitsstandards konzentrieren. Die USA haben mit der Veröffentlichung der Executive Order bereits einen ersten großen Schritt in diese Richtung getan. Dieser Beschluss legt die Sicherheitsanforderungen für Softwareunternehmen fest, die ihre Produkte für die US-Regierung bereitstellen. Es ist höchst wahrscheinlich, dass diese Anforderungen auf den öffentlichen Sektor übergehen, da auch Unternehmen diese Software nutzen können. Auch Großbritannien möchte mithilfe der National Cyber Strategy 2022-2030 sicherstellen, dass Softwareunternehmen Tools und Prozesse in ihre Entwicklungsprozesse etablieren, um ein höheres Cybersicherheitsniveau zu schaffen. Es ist zu erwarten, dass auch Deutschland diesen Vorbildern folgen und ähnliche Beschlüsse ins Auge fassen wird.

Von Julian Totzek-Hallhuber, Senior Principal Solutions Architect bei Veracode.