Veracode über Automatisierung und Software-Komposition 4 Trends im Bereich der Software-Sicherheit

Von Stephan Augsten

Entwickler müssen immer mehr in immer weniger Zeit entwickeln. Dieser Stress erhöht das Risiko von Sicherheitslücken innerhalb von Anwendungen, warnt Veracode, und stellt vier Top-Trends im Bereich der sicheren Softwareentwicklung vor.

Anbieter zum Thema

Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte.
Julian Totzek-Hallhuber erläutert, was seiner Ansicht nach künftig auf der Agenda von Development-Teams stehen sollte.
(Bild: Veracode)

Die beschleunigte digitale Transformation der vergangenen zwei Jahre hat in vielen Unternehmen dazu geführt, dass diese schnell neue Software, Anwendungen und Apps entwickeln mussten – alles zugunsten der Nutzererfahrung und -anforderungen auf Seiten der Mitarbeiter sowie der Kunden. Julian Totzek-Hallhuber, Senior Principal Solutions Architect bei Veracode, stellt die vier Top-Trends im Bereich der Softwareentwicklung vor und erklärt, in welchem Zusammenhang sie mit der Anwendungssicherheit stehen und was künftig auf der Agenda von Entwicklerteams stehen sollte:

1. Hyper-Automatisierung etabliert sich in der Softwareentwicklung

Die Geschwindigkeit, mit der Software entwickelt und auf den Markt gebracht wird, nimmt immer weiter zu. Unternehmen – und im Speziellen die Entwicklerteams – müssen sich nicht mehr nur gegenüber einer unzähligen Menge Wettbewerbern behaupten. Sie müssen zudem in kürzester Zeit innovativ sein und den Entwicklungsprozess beschleunigen, um Nutzererwartungen gerecht zu werden.

Unternehmen werden daher vermehrt so viele Prozesse wie möglich automatisieren. Pipeline-Automatisierung und DevOps zum Beispiel werden dann nicht mehr nur ein „Nice-to-have“, sondern ein „Must-have“ sein. Obwohl viele Unternehmen dank DevSecOps mittlerweile agiler entwickeln können, wird dem Thema Anwendungssicherheit eine noch größere Bedeutung zukommen. Durch einen stärkeren „Shift-Left“-Ansatz rückt der Sicherheitsaspekt weiter in die frühen Stadien des Entwicklungszyklus vor. Gleichzeitig werden immer mehr Aufgaben in der Softwareentwicklung von KI- und ML-basierten Lösungen übernommen wie zum Beispiel das Aufspüren von Schwachstellen, die Fehlerbeseitigung und Threat Modelling.

2. Anwendungen werden auf ihre Kleinstbestandteile heruntergebrochen

Softwareentwickler bauen ihre Anwendungen zunehmend auf einer Microservice-Architektur auf. Auf diese Weise können sie einzelne kleine „Anwendungsblöcke“, die nur eine einzige Funktion haben, für andere Anwendungen wiederverwerten. Der Einsatz von Application Programming Interfaces (APIs) zur Integration dieser Microservices ist daher wichtiger denn je.

Doch APIs können Schwachstellen in Form von einer lückenhaften Authentifizierung, ausnutzbaren Injections oder Fehlkonfigurationen aufweisen. Ohne die richtigen Sicherheitsmaßnahmen können Cyber-Kriminelle diese gezielt ausnutzen. Laut dem aktuellen „State of Software Security Report“ von Veracode wird der Missbrauch von APIs künftig sogar zu einem der größten Angriffsvektoren heranwachsen.

3. Entwickler setzen zunehmend auf Open-Source-Code

Entwicklerteams greifen zunehmend auf Open-Source-Bibliotheken zurück, um ihren Entwicklungsprozess zu beschleunigen. Im Rahmen der 11. „State of Software Security“-Studie konnte Veracode feststellen, dass herkömmliche Java-Anwendungen zu 97 Prozent aus Open Source Code bestehen. Doch Sicherheitsvorfälle wie SolarWinds haben gezeigt, dass Open-Source-Bibliotheken nicht zu hundert Prozent fehlerfrei sind – ein Grund mehr, jede Anwendungskomponente einem Sicherheitsscan zu unterziehen.

Laut dem aktuellen „State of Software Security: Open-Source Edition“-Bericht verzichten Entwicklerteams häufig auf das Testen von Open Source Code. In 79 Prozent der Fälle updaten sie den Code selbst nachdem sie ihn in Anwendungen verwenden nicht. Dadurch bleiben kritische Schwachstellen im Endprodukt bestehen – rund ein Drittel der Anwendungen weisen mehr Mängel im Open Source Code auf als im selbstgeschriebenen Code-Anteil. Daher müssen Entwickler regelmäßige Scans und Updates von Open-Source-Bibliotheken priorisieren, um das Sicherheitsrisiko zu minimieren.

4. Neue Policies treten in Kraft, um für höhere Cyber-Sicherheit zu sorgen

Um das Sicherheitsrisiko innerhalb der Software Supply Chain zu senken, wird sich die Politik zunehmend auf die Umsetzung von Richtlinien und die Erhöhung von Sicherheitsstandards konzentrieren. Die USA haben mit der Veröffentlichung der Executive Order bereits einen ersten großen Schritt in diese Richtung getan. Dieser Beschluss legt die Sicherheitsanforderungen für Softwareunternehmen fest, die ihre Produkte für die US-Regierung bereitstellen. Es ist höchst wahrscheinlich, dass diese Anforderungen auf den öffentlichen Sektor übergehen, da auch Unternehmen diese Software nutzen können. Auch Großbritannien möchte mithilfe der National Cyber Strategy 2022-2030 sicherstellen, dass Softwareunternehmen Tools und Prozesse in ihre Entwicklungsprozesse etablieren, um ein höheres Cybersicherheitsniveau zu schaffen. Es ist zu erwarten, dass auch Deutschland diesen Vorbildern folgen und ähnliche Beschlüsse ins Auge fassen wird.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48188940)