Mangelnde Schwachstellen-Analyse in Unternehmen

Wenig Augenmerk auf externe Code-Komponenten

| Redakteur: Stephan Augsten

Im Zuge einer aktuellen Veracode-Studie gaben 93 Prozent der Befragten an, externe Code-Komponenten zu verwenden.
Im Zuge einer aktuellen Veracode-Studie gaben 93 Prozent der Befragten an, externe Code-Komponenten zu verwenden. (Bild: Veracode)

Bei der Software-Entwicklung kommen immer häufiger kommerzielle und Open-Source-Komponenten zum Einsatz. Wird eine Sicherheitslücke bekannt, aktualisiert allerdings nur gut die Hälfte der Developer diese Code-Bestandteilen, heißt es in einer Veracode-Studie.

Auf Basis einer Befragung von Vanson Bourne attestiert Veracode vielen Unternehmen, die Software selbst schreiben und weiterentwickeln, ein mangelndes Sicherheitsbewusstsein. Zwar hätten Development-Methoden wie DevSecOps die Sicherheit von Code verbessert. Die gleichen Entwicklungsprozesse legten jedoch auch Wert auf Schnelligkeit und Effizienz.

Das Erfolgsmodell der Wiederverwendbarkeit von Code wird somit aufs Äußerste forciert: Entwickler übernehmen Module und Funktionen aus bestehenden Projekten und Bibliotheken. Die Studie zeigt, dass 83 Prozent der Befragten entweder kommerzielle oder Open-Source-Komponenten verwenden, wobei durchschnittlich 73 extern entwickelte Komponenten pro Anwendung zum Einsatz kommen.

Damit sind aber auch Sicherheitsrisiken verbunden, denn gemäß der Studie enthält jede Anwendung durchschnittlich 71 extern bedingte Schwachstellen. Nicht einmal ein Viertel der Befragten (23 Prozent) testet aber den Code bei jeder Veröffentlichung auf Schwachstellen. Nur etwas mehr als die Hälfte der Unternehmen führt ein Bestandsverzeichnis aller Komponenten in ihren Anwendungen und gerade einmal 28 Prozent erfassen die Bestandteile regelmäßig.

Die Studie zeigt auch, dass Entwicklungs- (44 Prozent) oder Sicherheitsteams (31 Prozent) am ehesten für die Wartung von kommerziellen und Open-Source-Komponenten von Drittanbietern verantwortlich sind. Dies lässt darauf schließen, dass die Verantwortung zunehmend dem Entwicklungsteam übertragen wird.

Weitere Ergebnisse aus der „Open Source Survey“ finden Interessierte auf der Veracode-Webseite.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45257583 / Sicherheitslücken)