Press release

Veracode: Automatisierung und Schulung sind wichtigste Faktoren für Softwaresicherheit bei Finanzdienstleistern

0
Präsentiert von Businesswire

Veracode, ein weltweit führender Anbieter von intelligenter Softwaresicherheit, hat heute eine neue Studie veröffentlicht, die wichtige Faktoren für die Einführung und Häufung von Sicherheitslücken im Finanzdienstleistungssektor aufzeigt. Grundsätzlich wird die Sicherheitsperformance von Finanzanwendungen im Vergleich zu anderen Branchen höher bewertet. Automatisierung, gezielte Sicherheitsschulungen und Scans über die Anwendungsprogrammierschnittstelle (API) tragen dazu bei, dass der Prozentsatz von Anwendungen mit erkannten Schwachstellen von Jahr zu Jahr sinkt.

Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20231025055799/de/

Figure 6: Factors Influencing the Number of Flaws Introduced (Graphic: Business Wire)

Figure 6: Factors Influencing the Number of Flaws Introduced (Graphic: Business Wire)

Vor dem Hintergrund wichtiger Vorschriften, die für Finanzdienstleister relevant sind – wie etwa die Vorschriften der US-Börsenaufsichtsbehörde Securities and Exchange Commission zur Offenlegung der Cybersicherheit und der Digital Operational Resilience Act (DORA) der EU –, erteilt die Veracode-Studie Empfehlungen zur Senkung des Risikos von Schwachstellen in Softwareanwendungen. Obwohl fast 72 Prozent der Anwendungen im Finanzdienstleistungssektor Sicherheitslücken aufweisen, ist dies der niedrigste Wert aller untersuchten Branchen und stellt eine Verbesserung gegenüber dem Vorjahr dar.

„Der Finanzdienstleistungssektor hat bei der diesjährigen Analyse in allen Bereichen stark abgeschnitten“, so Chris Eng, Chief Research Officer bei Veracode. „Der zunehmende Wettbewerbsdruck und die wachsenden Kundenerwartungen in Verbindung mit strengeren Vorschriften für die Branche insgesamt haben den Druck auf Entwickler und Sicherheitsteams erhöht, Schwachstellen effektiv zu erkennen und zu beheben. Zudem hat die explosionsartige Verbreitung von KI und maschinellem Lernen das Tempo der Softwareentwicklung auf eine neue Ebene geführt, wodurch die Proliferation von Fehlern beschleunigt wurde. Insgesamt hat die Branche gute Arbeit geleistet, um die Sicherheitsperformance zu verbessern, doch es bleibt noch viel zu tun. Finanzunternehmen würden von einer stärkeren Automatisierung und sicheren Codierungstechniken profitieren, die dabei helfen, Schwachstellen schneller als je zuvor zu verhindern, zu erkennen und zu beheben.“

API-Scans und Sicherheitsschulungen senken das Risiko und die Einführung von Schwachstellen

Der Studie von Veracode zufolge erzielen Finanzdienstleistungsunternehmen im Vergleich zum branchenübergreifenden Durchschnitt erhebliche Vorteile durch API-Scans und Sicherheitsschulungen. Das Scannen via API ist ein wichtiges Kriterium für die Bewertung des Reifegrades eines Software-Sicherheitsprogramms. Unternehmen, die die API-Nutzung integrieren, haben wahrscheinlich eine weitreichendere Automatisierung und umfangreichere Kontrolle über ihre Entwicklungspipeline implementiert. Tatsächlich schneiden Unternehmen, die API-Scans einsetzen, bei der monatlichen Fehlereinführung 11 Prozent besser ab im Vergleich zur Basiswahrscheinlichkeit bei Unternehmen anderer Branchen. Durch das Angebot interaktiver Sicherheitsschulungen lässt sich diese Zahl noch weiter verringern, da beide Faktoren zusammen die Wahrscheinlichkeit der Einführung von Fehlern um 19 Prozent pro Monat senken.

Der Vorteil durch Scannen über API und Sicherheitsschulung auf die Anzahl der Schwachstellen, wenn diese eingeführt werden, ist sogar noch größer. Nachdem die Teams der Finanzdienstleister 10 interaktive Module einer Sicherheitsschulung absolvierten, führten sie 26 Prozent weniger Schwachstellen ein. Auf diese Weise erzielte die Finanzdienstleistungsbranche eine deutlich bessere Sicherheitsperformance im Vergleich zum Branchendurchschnitt. Ebenso hatte die Ausführung von API-Scans einen stärkeren Einfluss auf die Anzahl der Schwachstellen, die in Finanzdienstleistungsanwendungen eingeführten wurden, als in Anwendungen anderer Branchen.

Eng kommentiert: „Die Daten zeigen, dass Finanzdienstleistungsunternehmen von der Automatisierung durch die Nutzung von APIs erheblich profitieren. Die Automatisierung ist für viele Unternehmen erstrebenswert, und wir beobachten, dass die Ausführung von Scans über die API korreliert mit einer geringeren Wahrscheinlichkeit der Einführung von Schwachstellen und einer niedrigeren Anzahl von Schwachstellen, die ihren Weg in die Software finden. Es kommt nicht überraschend, dass auch Schulungen in direktem Zusammenhang mit einer reduzierten Fehlereinführung steht.“

Das Potenzial von KI und maschinellem Lernen

Der Report „State of Software Security“ analysierte auch die Präferenzen bei der Programmiersprache in jeder Branche und stellte fest, dass Java mit 51 Prozent fast ein De-facto-Standard im Finanzdienstleistungssektor ist. Veracode Fix, ein KI-gestütztes Behebungstool, das Anfang des Jahres auf den Markt kam, nutzt maschinelles Lernen, um Korrekturen für 74 Prozent der statischen Java-Funde zu generieren. Durch die drastische Senkung des Zeit- und Arbeitsaufwands können Unternehmen ihren Sicherheitsstatus verbessern und das Risiko noch weiter mindern, um Kapazitäten für Innovationen und neue Produkte freizusetzen. Da in Java-Anwendungen einen sehr hohen Anteil (über 95 Prozent) von Drittanbieter-Code beinhalten, zeigen die Daten von Veracode die Vorteile der Software Composition Analysis für die Branche, um die Sicherheit und Integrität der Integration von Open-Source-Code zu verbessern.

Der Veracode-Report „State of Software Security: Financial Services“ mit detaillierten Ergebnissen und Empfehlungen ist als Download auf der Veracode-Website verfügbar.

Der vollständige globale Veracode-Report „State of Software Security 2023“ kann hier heruntergeladen werden.

Über den State of Software Security Report

Die 13. Ausgabe des Jahresberichts von Veracode über den Stand der Softwaresicherheit untersucht die historischen Trends in der Softwarebranche und deren Auswirkungen auf die Sicherheitspraktiken. Die diesjährigen Ergebnisse basieren auf den vollständigen historischen Daten der Veracode-Dienste und -Kunden und bilden einen Querschnitt großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und Open-Source-Projekte. Der Bericht analysiert die Daten aus mehr als 27 Millionen Scans von 750.000 Anwendungen und liefert Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die Cloud-basierte Plattform von Veracode unterzogen wurden. Er stellt die Ergebnisse der Finanzdienstleistungsbranche denen der Fertigungsindustrie, des Einzelhandels und des Gastgewerbes, der Technologiebranche, des Gesundheitswesens und des öffentlichen Sektors gegenüber.

Über Veracode

Veracode ist intelligente Softwaresicherheit. Die Veracode Software Security Plattform deckt in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Mängel und Schwachstellen auf. Gestützt auf eine leistungsstarke KI, die auf einem sorgfältig kuratierten, vertrauenswürdigen Datensatz aus der Analyse von Billionen von Codezeilen trainiert wurde, sind Veracode-Kunden dazu in der Lage, Fehler schneller und präziser zu beheben. Veracode genießt das Vertrauen von Sicherheitsteams, Entwicklern und Topmanagern von Tausenden führenden globalen Unternehmen und ist der Pionier, der die Bedeutung von intelligenter Softwaresicherheit ständig neu definiert.

Erfahren Sie mehr unter www.veracode.com, im Veracode Blog, auf LinkedIn und auf Twitter.

Copyright © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier zitierten Marken sind Eigentum ihrer jeweiligen Inhaber.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.