Mangelnde Schwachstellen-Analyse in Unternehmen

Wenig Augenmerk auf externe Code-Komponenten

Bei der Software-Entwicklung kommen immer häufiger kommerzielle und Open-Source-Komponenten zum Einsatz. Wird eine Sicherheitslücke bekannt, aktualisiert allerdings nur gut die Hälfte der Developer diese Code-Bestandteile, heißt es in einer Veracode-Studie.

Auf Basis einer Befragung von Vanson Bourne attestiert Veracode vielen Unternehmen, die Software selbst schreiben und weiterentwickeln, ein mangelndes Sicherheitsbewusstsein. Zwar hätten Development-Methoden wie DevSecOps die Sicherheit von Code verbessert. Die gleichen Entwicklungsprozesse legten jedoch auch Wert auf Schnelligkeit und Effizienz.

Das Erfolgsmodell der Wiederverwendbarkeit von Code wird somit aufs Äußerste forciert: Entwickler übernehmen Module und Funktionen aus bestehenden Projekten und Bibliotheken. Die Studie zeigt, dass 83 Prozent der Befragten entweder kommerzielle oder Open-Source-Komponenten verwenden, wobei durchschnittlich 73 extern entwickelte Komponenten pro Anwendung zum Einsatz kommen.

Damit sind aber auch Sicherheitsrisiken verbunden, denn gemäß der Studie enthält jede Anwendung durchschnittlich 71 extern bedingte Schwachstellen. Nicht einmal ein Viertel der Befragten (23 Prozent) testet aber den Code bei jeder Veröffentlichung auf Schwachstellen. Nur etwas mehr als die Hälfte der Unternehmen führt ein Bestandsverzeichnis aller Komponenten in ihren Anwendungen und gerade einmal 28 Prozent erfassen die Bestandteile regelmäßig.

Die Studie zeigt auch, dass Entwicklungs- (44 Prozent) oder Sicherheitsteams (31 Prozent) am ehesten für die Wartung von kommerziellen und Open-Source-Komponenten von Drittanbietern verantwortlich sind. Dies lässt darauf schließen, dass die Verantwortung zunehmend dem Entwicklungsteam übertragen wird.

Weitere Ergebnisse aus der „Open Source Survey“ finden Interessierte auf der Veracode-Webseite.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.