:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Was taugt der Programmcode? Der Crash-Report 2014 – Fehler in Business-Anwendungen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/122700/122743/65.jpg "rapid7-logo-si.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Alle zwei Jahre erscheint der Bericht „Cast Research on Application Software Health“. Der Titel ist mit Bedacht gewählt; seine Abkürzung „CRASH“ zeigt an, um was es geht: die Code-Qualität von Business-Software.
Cast ist ein Unternehmen, das bei IT-Anwendern Software und deren Entwicklung analysiert sowie Verbesserungen vorschlägt. Der soeben erschienene „Crash Report 2014“ - kostenlos zugänglich ist eine Zusammenfassung – fasst die Ergebnisse einer aktuellen Analyse von Programmen zusammen. Er bewertet die technische Qualität von Business-Software, nicht aber ihre Funktionalitäten. Der Bericht zeigt ferner auf, welche Methoden die Applikationsentwicklung verbessern.
Für den neuen Report hat Cast 1.326 Applikationen von 212 Organisation aus verschiedenen Industriesektoren in Europa, Indien und den USA untersucht. Insgesamt waren es mehr als 700 Millionen Zeilen Code.
28 Prozent der Anwendungen hatten weniger als 50.000 Codezeilen (LoC), 33 Prozent 50.000 bis 200.000, 29 Prozent auf der nächsten Stufe bis zu eine Million LoC und elf Prozent noch mehr Codezeilen. Die meisten Programme davon, nämlich 565, waren in Java-EE geschrieben, 280 in Cobol, 127 in .NET, 77 in ABAP, 59 in Oracle Forms, 33 in Oracle ERP, 39 in C, 28 in C++ und 24 in ASP. Bei 84 Anwendungen lag ein Mix von Programmiersprachen vor.
Die Bewertungskriterien
In der diesem Bericht zugrunde liegenden Zusammenfassung geht es ausschließlich um die strukturelle Qualität von Code. Diese bestimmt Cast nach fünf Eigenschaften des analysierten Codes: Robustheit (die Stabilität und Abwehr von Fehlern bei Modifikationen), Performanz (im Sinne von Durchsatz und Ressourcenbeanspruchung), Sicherheit (gegen unbefugte Änderung), Wandelbarkeit (zwecks künftiger Modifizierung) sowie Übertragbarkeit (der Pflege und weiteren Entwicklung auf ein völlig neues Team).
:quality(80)/p7i.vogel.de/wcms/85/df/85dfcf4ae6a85ebbb57efb7541f7d661/37422406.jpeg "Abbildung 1: In punkto Robustheit liegen die Scores auf einer Skala von 1 für hohes Risiko bis 4 für geringes Risiko hier bei den meisten Applikationen zwischen 3,1 und 3,5, ein respektables Ergebnis.")
:quality(80)/p7i.vogel.de/wcms/56/22/56223e1d85ce4abe4ff709eb8b21f411/37422434.jpeg "Abbildung 2: In Bezug auf Performanz ist die Pyramide breiter; es gibt mehr passable Noten, aber auch mehr ausgezeichnete.")
:quality(80)/p7i.vogel.de/wcms/11/2e/112e3df89de52e2a72744bd4158be68a/37422449.jpeg "Abbildung 3: Bezüglich Sicherheit gilt: Die großen Mehrheit der Anwendungen kommt auf Score 3, viele sind nah am Spitzenwert, ein sehr guter Durchschnitt.")
:quality(80)/p7i.vogel.de/wcms/2a/69/2a690e92a17ab92182d51346a47033e0/37422709.jpeg "Abbildung 4: In Sachen Übertragbarkeit findet sich: Wenn es um die Einfachheit geht, mit der andere Teams eine Software pflegen und weiterentwickeln können, häufen sich durchschnittliche Noten.")
Jeden dieser Aspekte bewertet Cast mit Scores, also Punkten, die von 1 für hohes Risiko bis 4 für geringes Risiko reichen. Die Einzelergebnisse der fünf Qualitätsfaktoren fließen statistisch bereinigt in einem „Total Quality Index“ zusammen.
Nicht so schlecht
Bei der Untersuchung zeigte sich, dass drei Viertel der Anwendungen für die Faktoren Robustheit, Performanz und Sicherheit auf Scores von höher als 3,0 kommen. Die Aspekte Wandelbarkeit und Übertragbarkeit schneiden deutlich schlechter ab, was Cast darauf zurückführt, dass diese zwei Faktoren in der Software-Entwicklung zusätzliche Kosten verursachen, die gescheut werden. Robustheit, Performanz und Sicherheit haben eben Priorität.
Zwischen den fünf Faktoren ist ein Zusammenhang auffällig, der eigentlich auch zu erwarten ist: Die Verletzung von Regeln guter Softwarearchitektur und -entwicklung führt mit sehr hoher Wahrscheinlichkeit zu weniger sicheren Anwendungen. Hingegen scheint die Performanz mit allen anderen Faktoren wenig zusammenzuhängen, was der herkömmlichen Auffassung widerspricht, dass die Durchsatz-Optimierung alle anderen Qualitätseigenschaften einer Software negativ beeinflusse.
Im Allgemeinen stehen die Qualitätsmerkmale von Anwendungen nicht in Relation zu ihrer Größe. Der Satz „Je größer, desto schlechter“ gilt also nicht – auch nicht im umgekehrten Sinn oder gar mit dem Zusatzattribut exponentiell. Doch bei Java-EE-Anwendungen gibt es eine Korrelation mit Robustheit und bei Cobol-Programmen mit Sicherheit. Beide Male im Sinne von: Je mehr Code, desto schlechter schaut's aus.
Egal, wer entwickelt
Nur bei den Anwendungen, die mit Java-EE geschrieben sind, war die Basis der vorliegenden Detailinformationen groß genug, um statistisch relevant weitere Zusammenhänge zu analysieren. Hier ergab sich, dass es keinen Unterschied macht, ob die Entwicklung firmenintern oder extern erfolgte.
Auch Offshore-Entwicklung zeitigt keine unterschiedliche Qualitätsbenotung. Allerdings erreichten Anwendungen, die für mehr als 5000 User geschrieben waren, höhere Punktzahlen, als Anwendungen für kleinere Nutzerzahlen. Das ist aber laut Cast auch kaum verwunderlich, weil Applikationen für eine breitere Anwenderbasis oft geschäftskritisch sind, weshalb hier an die Entwicklung rigorosere Maßstäbe angelegt werden.
Unternehmen können ihre Software-Entwicklung bewerten lassen. Dafür gibt es „Capability Maturity Model Integration” (CMMI), eine Gruppe von Referenzmodellen, darunter für die Verbesserung der Software-Entwicklung. Andere Standards wie DIN EN ISO 9001, oder ISO/IEC (diverse Normen) sind ähnlich, entsprechen ihm aber nicht genau. CMMI kennt fünf Level von „Initial“ bis „Optimizing“, hier sind jedoch die Level 2 bis 4 (Managed, Defined und Quantitatively Managed) von Interesse.
Gute Software muss reifen
Cast hat festgestellt, dass diese Bewertung des Reifegrades der Software-Entwicklung durchaus Folgen für die Qualität der Programme hat. Bei allen fünf Teilaspekten von Softwarequalität – und natürlich im Gesamtergebnis – erzielten Entwicklerumgebungen mit CMMI-Level 2 und 3 deutlich bessere Noten als mit Level 1.
In Sachen Robustheit, Sicherheit und Wandelbarkeit waren die Scores 20 bis 28 Prozent besser. In puncto Performanz und Übertragbarkeit betrug der Unterschied noch 11 bis 12 Prozent. Allerdings ist kaum ein Unterschied zwischen CMMI-Level 2 und 3 auszumachen, was daran liegt, dass hier der Unterschied vor allem in der Standardisierung der Entwicklungspraxis liegt, während zwischen Level 1 und 2 ein größerer Sprung erfolgt.
Die besten Ergebnisse
Ein Blick auf die Grundmethoden der Entwicklungsarbeit zeigt sich ein weiterer Unterschied. Wo nach dem Wasserfallmodell oder nach agiler Methode gearbeitet wird, sind die Ergebnisse in allen Einzelkategorien signifikant besser als ohne solch eine Herangehensweise. Am besten wird die Software nach Ergebnissen der Analyse offenbar dann, wenn Wasserfall- und agile Methoden miteinander verbunden sind.
Daraus folgert Cast die Empfehlungen, erstens den Reifegrad der Software-Entwicklung normengemäß zu steigern und zweitens Hinderungsgründe für diszipliniertes Software-Engineering zu beseitigen.
* Ludger Schmitz ist freiberuflicher Journalist in Kelheim.
Artikelfiles und Artikellinks
(ID:42989146)
:quality(80)/images.vogel.de/vogelonline/bdb/1951900/1951930/original.jpg "Der LexisNexis Risk Solutions Cybercrime Report zeigt, dass der Anteil der Transaktionen, die von Mobilgeräten ausgehen, auf 75 Prozent angestiegen ist, was zu einem Höchststand bei digitalen Betrugsfällen führt. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945983/original.jpg "Einige Best Practices helfen, bei der Nutzung von Open-Source-Komponenten auf der sicheren Seite zu bleiben. (peshkova - stock.adobe.com)")