Veracode , ein global führendes Unternehmen für die Sicherheit von intelligenter Software, hat heute den jährlichen Bericht State of Software Security (SoSS) 2024 vorgelegt. Er wirft ein Licht auf das drängende Problem von Schwachstellen in Anwendungen. Diese werden definiert als Fehler, die länger als ein Jahr bestehen bleiben. Sie sind in 42 Prozent von Anwendungen zu finden und bei 71 Prozent der untersuchten Unternehmen. Besorgniserregend ist, dass 46 Prozent der Unternehmen dauerhaft ernste Schwachstellen aufweisen, die als ‘kritisch’ einzustufen sind. Dies führt zu hohen Risiken im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20240214755521/de/
State of Software Security 2024 Figure 25: Effect of flaw remediation speed on prevalence of security debt (Graphic: Business Wire)
Gemäß dem Bericht weisen fast 63 Prozent der Anwendungen Fehler im selbst erstellten Code auf, während 70 Prozent Schwachstellen aufgrund von extern erstelltem Code beinhalten, der über Bibliotheken von Drittparteien importiert wurde. Das zeigt, wie wichtig es ist, beide Typen während des Softwareentwicklungszyklus zu testen. Die Zeit für die Fehlerbehebung variiert ebenfalls: Die Reparatur von Drittpartei-Fehlern dauert 50 Prozent länger, wobei die Hälfte der bekannten Schwachstellen nach 11 Monaten behoben ist, bei eigenen Fehlern sind es lediglich sieben Monate.
Es gibt aber auch gute Nachrichten: Seit 2016 ist die Anzahl von hochriskanten Sicherheitsfehlern in Anwendungen um die Hälfte gesunken, was einen Fortschritt bei Sicherheitspraktiken für Software zeigt. Darüber hinaus hat die Schnelligkeit der Reparatur einen hohen Einfluss auf kritische Sicherheitsmängel.
SoSS 2024 deckt auf, dass Entwicklungsteams, die Fehler sehr schnell beheben, die Gefahren durch kritische Sicherheitsmängel um 75 Prozent senken—von 22,4 Prozent der Anwendungen auf nur etwas mehr als fünf Prozent. Und bei diesen schnellen Teams ist die Wahrscheinlichkeit, dass derartige Fehler überhaupt auftreten von vornherein viermal niedriger.
Chris Eng, Chief Research Officer bei Veracode, sagte: „Obwohl wir Verbesserungen im Hinblick auf die Sicherheit festgestellt haben, sind die Ergebnisse ein Weckruf an Unternehmen, sich mit ihren Sicherheitsschwachstellen zu befassen. Durch die Behebung der Mängel, eine Fokussierung auf die Sicherheit von extern erstelltem Code und effiziente Entwicklungspraktiken können die Risiken erheblich gesenkt und der Status von Software im Allgemeinen verbessert werden.”
KI und die Software-Lieferkette
In einer Ära, in der KI (künstliche Intelligenz) die Entwicklung von Software schnell revolutioniert, legt der Bericht einen besorgniserregenden Trend offen. Chris sagte: „Trotz der Schnelligkeit und Effizienz, mit der KI Software entwickelt, produziert sie dennoch nicht unbedingt sicheren Code. Forschungen beweisen, dass 36 Prozent des durch GitHub CoPilot generierten Codes fehlerhaft ist.” Diese massenhafte Bereitstellung von unsicherem Code stellt für Unternehmen und die Software-Lieferkette ein hohes Risiko dar, denn so werden Schwachstellen im Laufe der Zeit akkumuliert.
Risken im Blick halten
Veracode’s Untersuchungen ergeben, dass Teams nicht genügend Kapazitäten für die Behebung von Schwachstellen haben. Nur 64 Prozent der Anwendungen verfügen über eine Kapazität, die ausreicht, um kritische Mängel zu beheben. Nur zwei von zehn Anwendungen weisen eine durchschnittliche monatliche Reparaturquote auf, die zehn Prozent aller Schwachstellen übersteigt. Daraus kann gefolgert werden, dass für Teams selbst bei ausreichender Kapazität die Behebung von Fehlern nicht höchste Priorität hat.
Dennoch besteht Hoffnung auf Erfolg. Nur drei Prozent aller Mängel sind als so kritisch einzustufen, dass sie für die Anwendung extrem hohe Risiken bedeuten. Wenn Unternehmen sich auf diese Teilmenge konzentrieren, können sie fokussiert die Risiken verringern.
Chris meinte abschließend: „KI eröffnet in der Softwareentwicklung eine neue Ära. Einerseits können Unternehmen die Behebung von Mängeln skalieren, wodurch mehr Schwachstellen behoben werden können. Aber andererseits entstehen neue Fehler. Die meisten CWEs (Common Weakness Enumeration) mit mittlerem bis hohen Risikograd lassen sich durch KI-generierte Code Edits von Veracode Fix beheben.”
Die Gesamtausgabe des Berichts ‘State of Software Security 2024’ steht für den Download bereit auf der Veracode Website. Um Zugriff auf den Bericht zu nehmen und tiefere Einblicke in die Erkenntnisse und Empfehlungen zu erhalten, besuchen Sie die Website. Ein Blog mit den wichtigsten Ergebnissen des Berichts ist auch vorhanden.
-ENDE-
Über den State of Software Security Report
Der Veracode Bericht ‘State of Software Security 2024’ analysiert Daten von kleinen und großen Unternehmen, geschäftlichen Software-Anbietern, Software-Outsourcern und Open-Source-Projekten. Die Forschung basiert auf mehr als eine Million (1.007.133) Anwendungen aller Scan-Typen, 1.553.022 dynamischen Analysescans und 11.429.365 statischen Analysescans. All diese Scans erbrachten 96 Millionen statische Rohbefunde, 4 Millionen dynamische Rohbefunde und 12,2 Millionen Rohbefunde über die Zusammensetzung von Software.
Über Veracode
Veracode ist intelligente Softwaresicherheit. Die Veracode Software Security Plattform deckt in jeder Phase des modernen Softwareentwicklungszyklus kontinuierlich Mängel und Schwachstellen auf. Gestützt auf eine leistungsstarke KI, die auf einem sorgfältig kuratierten, vertrauenswürdigen Datensatz aus der Analyse von Billionen von Codezeilen trainiert wurde, sind Veracode-Kunden dazu in der Lage, Fehler schneller und präziser zu beheben. Veracode genießt das Vertrauen von Sicherheitsteams, Entwicklern und Topmanagern von Tausenden führenden globalen Unternehmen und ist der Pionier, der die Bedeutung von intelligenter Softwaresicherheit ständig neu definiert.
Weitere Informationen finden Sie unter www.veracode.com , im Blog von Veracode und auf LinkedIn sowie auf Twitter .
Copyright © 2024 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Handelsmarke der Veracode, Inc. in den Vereinigten Staaten und kann auch in anderen Rechtssystemen eingetragen sein. Alle anderen Produktnamen, Marken und Logos sind Eigentümer der jeweiligen Inhaber. Alle sonstigen hier erwähnten Handelsmarken sind Eigentum ihres jeweiligen Besitzers.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20240214755521/de/