The State of Software Supply Chain Security Risks Weiterhin Schwachstellen in Development-Prozessen

Anbieter zum Thema

SYNOPSYS GmbH

Fsas Technologies GmbH

FAST LTA GmbH

FTAPI Software GmbH

Angriffe auf die Software-Lieferkette kommen weltweit immer häufiger vor. Dennoch gibt es weiterhin Schwachstellen in bestehenden Software­entwicklungs­prozessen und Sicherheitsstandards.

Deutlich über die Hälfte der Unternehmen (54 Prozent) wurde im vergangenen Jahr Opfer eines Angriffs auf die Software-Lieferkette, wie die Studie „The State of Software Supply Chain Security Risks“ von Synopsys und dem Ponemon Institute belegt. Gleichzeitig sind die meisten von ihnen nicht in der Lage, mit den Risiken Schritt zu halten. Demnach braucht die Hälfte der Unternehmen (50 Prozent) über einen Monat, um auf einen Angriff zu reagieren, 13 Prozent sogar zwischen drei und sechs Monaten oder länger (9 Prozent).

Wenig überraschend ist KI inzwischen über den gesamten Lebenszyklus der Softwareentwicklung hinweg allgegenwärtig. Die Hälfte der Entwicklungsteams (50 Prozent) nutzt KI-Tools bei der Codegenerierung, insbesondere OpenAI Codex (51 Prozent), ChatGPT (45 Prozent) und GitHub Copilot (44 Prozent). KI automatisiert Entscheidungsprozesse und soll so für mehr Effizienz sorgen. Allerdings verzichten Firmen in einem besorgniserregenden Maß auf Sicherheitsvorkehrungen. Lediglich ein knappes Drittel (30 Prozent) verfügt über Prozesse, um KI-generierten Code auf Sicherheits- und Qualitätsrisiken sowie Lizenzkonflikte hin zu prüfen.

Trotz aller Anstrengungen fehle es Entscheidungsträgern oft am nötigen Engagement, um die Probleme einzudämmen. Nur 35 Prozent der Befragten bekräftigen beispielsweise, dass die Führungskräfte in ihrem Unternehmen, sich stark dafür einsetzen, das Risiko von Malware innerhalb der Software-Lieferketten zu senken. 41 Prozent bestätigen zwar, dass Kompromittierungen der Lieferkette wie bei SolarWinds und Kaseya, dazu geführt haben, dass mehr in die Sicherheit der Software-Lieferkette investiert wurde. Aber nur 36 Prozent der Befragten sind überzeugt, dass die Ressourcen ausreichend oder vollkommen ausreichend sind.

„Angreifer gehen zunehmend raffinierter vor, und entsprechend häufig gelingt es ihnen, Schwachstellen zu finden. Diese erlauben es, in die Lieferkette einzudringen, um sensible Daten zu stehlen, schädliche Software einzuschleusen und Systeme zu kontrollieren. Insbesondere mit dem Aufkommen von KI-generiertem Code brauchen Sicherheitsteams zwingend einen Einblick in ihre Anwendungen und müssen in der Lage sein, die IP, Sicherheitsbedrohungen und die Code-Qualität kontinuierlich zu überprüfen. Nur so lassen sich die Risiken senken“, betont Jason Schmitt, General Manager, Synopsys Software Integrity Group.

Eine Software Bill of Materials (SBOM) ist für die Sicherheit der Software-Lieferkette besonders wichtig. Trotzdem geben nur 32 Prozent der Sicherheitsexperten an, dass ihr Unternehmen SBOMs erstellt, lediglich 30 Prozent verlangen sie von ihren Lieferanten. Darüber hinaus stoppen lediglich 40 Prozent der Befragten die Nutzung einer Software, wenn der Lieferant nicht wie gefordert, SBOMs bereitstellt. Die wichtigsten Gründe, warum Unternehmen SBOMs erstellen, sind das generelle Dependency- und Schwachstellenmanagement (48 Prozent), Branchenvorschriften (47 Prozent), Kundenanforderungen (41 Prozent) und behördliche Vorgaben (35 Prozent).

Und auch Open-Source-Schwachstellen bergen nach wie vor große Risiken: Deutlich über die Hälfte der Befragten (58 Prozent) nutzen Open Source Software, obwohl weniger als die Hälfte (45 Prozent) bestätigen können, dass ihr Unternehmen diese Software innerhalb der Lieferkette sehr oder äußerst effektiv schützt.

Über die Studie: An der Synopsys-Umfrage haben sich insgesamt 1.278 IT- und IT-Sicherheitsfachkräfte beteiligt. Diese sind in Firmen tätig, die sich für eine sichere Software-Lieferkette einsetzen, und in gewissem Maße für die Sicherheitsstrategie ihrer Unternehmen einschließlich der Software-Lieferkette verantwortlich. Die im Rahmen der Studie Befragten kommen aus den folgenden Regionen/Ländern Nordamerika (613 Befragte), EMEA (362 Befragte) und Japan (303 Befragte).

(ID:50041687)