Fortschritte bei der Softwaresicherheit zeigen trotz Herausforderungen Fortschritte, wie der Veracode-Bericht enthüllt

Die Softwaresicherheit hat sich im Laufe der Jahre erheblich weiterentwickelt, wie der aktuelle Bericht „State of Software Security“ von Veracode hervorhebt. Obwohl Herausforderungen bestehen bleiben, waren Anwendungen im Durchschnitt noch nie so sicher, was angesichts globaler Cyber-Bedrohungen für den dringend benötigten Optimismus sorgt.

Trotz der Fortschritte betont der Bericht die welterschütternden Folgen, die sich aus einem Welleneffekt einer einzelnen Schwachstelle ergeben könnten. Ein Paradebeispiel ist der globale SolarWinds-Angriff, bei dem Unternehmen wie Microsoft, Cisco, FireEye und Intel wegen der Ausnutzung von bösartigem Code in ihrer Orion-Software ungeschützt blieben. Auch staatliche Stellen und renommierte Institutionen machten bei diesem Verstoß keine Ausnahme.

Um solchen Schwachstellen entgegenzuwirken, erließ die Biden-Administration am 12. Mai 2021 eine Durchführungsverordnung, mit der neue Maßnahmen zur Stärkung der nationalen Cybersicherheit eingeführt wurden. In seinem 12. Jahresbericht zielt Veracode darauf ab, Führungskräfte dabei zu unterstützen, Softwaresicherheit anzugehen, Risiken zu reduzieren und diese neuen Vorschriften einzuhalten.

Der Bericht zeigt einen Branchentrend hin zur Umstellung auf einsprachige Apps oder Microservices. Im Jahr 2018 verwendeten rund 20 Prozent der Apps mehrere Sprachen, was 2021 auf weniger als 5 Prozent zurückging. Robuste kontinuierliche Testverfahren führten dazu, dass 90 Prozent der Apps mehrmals pro Woche gescannt wurden – deutlich häufiger als die wenigen Scans pro Jahr im Jahr 2010.

Bibliotheken von Drittanbietern sind im Laufe der Jahre weniger anfällig geworden. Im Jahr 2017 enthielten 35 Prozent der Bibliotheken einen bekannten Fehler, der bis 2021 auf 10 Prozent reduziert werden konnte. Es wurden große Fortschritte in der Zeit gemacht, die benötigt wird, um diese Schwachstellen von Drittanbietern zu beheben, was auf Raum für Verbesserungen hinweist.

Beispielsweise war 2017 das Erreichen der Hälfte der Fehlerbeseitigung über drei Jahre erforderlich; bis 2021 dauerte es etwas mehr als ein Jahr. Doch trotz dieser Fortschritte blieben alarmierende 77 Prozent der Fehler nach drei Monaten ungelöst.

Durch die Anwendung von Software Composition Analysis (SCA) stellten die Forscher fest, dass 97 Prozent der Java-Apps auf Open-Source-Bibliotheken angewiesen sind, wodurch die Bedrohung durch groß angelegte Software-Schwachstellen über längere Zeiträume aufrechterhalten wird.

In Bezug auf die Verwendung von Drittanbietercode in verschiedenen Sprachen scheint Java am stärksten auf Drittanbietercode angewiesen zu sein. Umgekehrt stieg die Verwendung von Drittanbietercode durch .NET von einem einstelligen Prozentsatz auf über 50 Prozent im Jahr 2020, zeitgleich mit der Veröffentlichung von .NET 5.

JavaScript und Python weisen inkonsistente Muster auf, wobei die Software überwiegend aus internem oder Drittanbieter-Code besteht, während sich PHP und C++ weiterhin auf selbst entwickelten Code konzentrieren. Der Bericht legt nahe, dass Entwickler dazu neigen, sich auf bewährte Bibliotheken zu verlassen, anstatt ihre Codebasen für neuere, trendigere Alternativen umzugestalten.

Darüber hinaus untersucht die Studie von Veracode, ob bestimmte Sprachen anfälliger für fehlerhafte Bibliotheken sind, und bewertet den Fortschritt bei der Reduzierung von Schwachstellen im Laufe der Zeit. Java-Bibliotheken hatten mit 12,5 Prozent die höchste durchschnittliche Anzahl von Fehlern, dicht gefolgt von Ruby mit etwa 10 Prozent und Python mit etwa 5 Prozent. Die niedrigste Prävalenz anfälliger Bibliotheken wurde in PHP, JavaScript und .NET gefunden, jeweils mit durchschnittlich etwa 3 Prozent.

Bedeutende Fortschritte wurden bei Java-, JavaScript- und Python-Bibliotheken festgestellt. Seit 2017 haben Java-Bibliotheken die Schwachstellenraten von etwa 25 Prozent, Python von 20 Prozent und JavaScript von 10 Prozent gesenkt.

Dynamisches Scannen in Kombination mit statischer Analyse verbesserte die Behebungsraten um 50 Prozent und beschleunigte den Prozess um durchschnittlich 24 Tage. Die Einbeziehung von SCA in die Mischung verkürzte den Zeitrahmen um weitere sechs Tage.

Die amerikanische Softwareentwicklung erlebt trotz der jüngsten Zunahme hochkarätiger Angriffe, die nationale Aufmerksamkeit erregen, ein Allzeithoch an Sicherheit. Der Bericht von Veracode erkennt an, dass noch viel zu tun ist, aber die Softwaresicherheit ist auf dem richtigen Weg. Die Verwendung von no-code Plattformen wie AppMaster bietet eine zusätzliche Sicherheitsebene, dank ihrer inhärenten risikoarmen Natur, automatischen Updates und Compliance-Überwachung. Angesichts der kontinuierlichen Bemühungen, Software-Sicherheitsrisiken anzugehen, sieht die Zukunft vielversprechend aus.