Suchen

State of Software Security Report von Veracode Wie hoch ist die durchschnittliche Fix Rate?

| Redakteur: Stephan Augsten

Auf Basis der neunten Auflage des „State of Software Security“-Reports hat Veracode sich die Fehlerbehebungsrate genauer angesehen. Demnach sei die durchschnittliche Zeitspanne zwischen der Entdeckung einer Schwachstelle und deren Behebung alarmierend.

Firmen zum Thema

Selbst kleine Anfälligkeiten können große Auswirkungen haben, warnt Veracode und olädiert für eine hohe Fix Rate.
Selbst kleine Anfälligkeiten können große Auswirkungen haben, warnt Veracode und olädiert für eine hohe Fix Rate.
(Bild: mohamed_hassan / Pixabay )

Für den neunten SoSS-Bericht (State of Software Security) hat Veracode Daten aus 700.000 Scans analysiert, die über im 12-monatigen Zeitraum zwischen April 2017 und März 2018 durchgeführt wurden. Dabei wurde unter anderem die „Fix Rate“ berechnet, indem die Zahl der behobenen Schwachstellen durch ihre Gesamtzahl dividiert wurde.

Diese ändert sich permanent und ist demnach ein guter Indikator dafür, wie effizient Unternehmen bestehende Anfälligkeiten beheben. Demnach wurden innerhalb einer Woche nur etwa 15 Prozent der entdeckten Sicherheitslücken geschlossen. Innerhalb eines Monats steigt die Rate auf 30 Prozent. Nach drei Monaten sind es gerade einmal 45 Prozent.

Betrachtet man die Fix Rates nach Fehlertypen, dann betrieben Unternehmen Veracode zufolge großen Aufwand, um ihre kritischsten Sicherheitslücken zeitnah zu schließen. 75 Prozent dieser Sicherheitslücken werden 100 Tage früher behoben als mutmaßlich bedeutungslosere Schwachstellen.

Laut Veracode sind eben diese Fix Rates für weniger schwere Schwachstellen ein signifikantes Problem, da auch sie ein gewisses Risikopotenzial besitzen. „Auch ein geringfügiger Informations-Leak kann genau das richtige Maß an Systemwissen liefern, das ein Angreifer benötigt“, heißt es im Blog des Unternehmen.

Dort nennt die Autorin Suzanne Ciccone auch einige Ansätze, wie Unternehmen ihre Fix Rates verbessern könnten. Die Empfehlungen lauten wie folgt:

1. Prioritäten richtig setzen

Unternehmen müssen eine effektive Methode zur Priorisierung von Schwachstellen entwickeln. Nicht alle Apps erfordern im Security-Kontext das gleiche Maß an Aufmerksamkeit. Bei einer Anwendung, die öffentlich zugänglich ist und Komponenten von Drittanbietern enthält, sollten alle mittleren bis kritischen Schwachstellen unverzüglich behoben werden. Darüber hinaus sollte man sich nicht nur darüber im Klaren sein, wie schwerwiegend eine Schwachstelle ist, sondern auch, welche Möglichkeiten es gibt, sie auszunutzen.

2. Mehr scannen

Der neueste SoSS Report zeigt, dass die Unternehmen, die am häufigsten scannen auch die höchsten Fix Rates aufweisen. Die Daten zeigen einen starken Zusammenhang zwischen der Scan Rate und der Geschwindigkeit, mit der Schwachstellen behoben werden. Jeder Schritt zur Erhöhung der Scan Rate führt zu kürzeren Fix-Intervallen. Dieser Prozess des regelmäßigen Scannens und der damit verbundenen graduellen Behebung von Schwachstellen kann unter dem Begriff „DevSecOps“ zusammengefasst werden.

3. Mehr Prävention

Wenn Programmierer über die nötigen Fähigkeiten verfügen, können Sicherheitslücken in vielen Fällen von vornherein vermieden werden, was sowohl Kapazitäten für ihre spätere Behebung spart, als auch Risiken verringert. Die meisten Entwickler sind im Hinblick auf sicheres Coding jedoch nicht geschult. Die Forschung von Veracode hat gezeigt, dass sich die Fix Rate von Unternehmen erheblich verbessert, wenn Entwickler eine entsprechende Fortbildung erhalten. Wer seinem Entwickler-Team E-Learning-Angebote zur sicheren Programmierung anbietet, kann seine Fix Rate erheblich verbessern.

(ID:46032767)