Veracode sieht Open Source als Gefahr für Cyber-Security

Die Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit, State of Software Security (SoSS), hervor, den Veracode zum siebten Mal zusammengestellt hat. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden. Insgesamt zeigt sich, dass der zunehmende Fokus auf digitale Risiken auf der Anwendungsebene und die Integration von Sicherheitsaspekten in DevOps-Prozesse (DevSecOps) zur Senkung des Risikos beitragen können, ohne die Software-Entwicklung zu verlangsamen.

Die Analyse von Veracode ergab aber auch, dass anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. So wirkte sich eine einzige populäre Komponente mit einer kritischen Sicherheitslücke auf mehr als 80.000 andere Software-Komponenten aus, die dann wiederum in der Entwicklung von Millionen Software-Programmen zum Einsatz kamen. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.

"Die weit verbreitete Nutzung von Open-Source-Komponenten in der Software-Entwicklung ist verantwortlich für unkontrollierbare systemische Risiken in Unternehmen und Branchen", erläutert Julian Totzek-Hallhuber, Solutions Architect bei Veracode. "Heute kann sich ein Cyberkrimineller auf eine einzige Schwachstelle in einer Komponente konzentrieren, um Millionen von Anwendungen zu schädigen. Alle Branchen sind in hohem Mass von diesen Anwendungen abhängig. Diese Leichtigkeit, mit der Millionen von Anwendungen verletzt werden können, kann daher unsere digitale Infrastruktur und Wirtschaft nachhaltig schädigen."

Der Bericht von Veracode hebt weitere Herausforderungen in der Software-Entwicklung hervor. Zum Beispiel konnten 60 Prozent der Anwendungen beim ersten Scan grundlegende Sicherheitsanforderungen nicht erfüllen. Allerdings stellt der Bericht fest, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen effektiver beseitigen können.

Die Studie zeigt auch, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen. Darüber hinaus können Best Practices wie Remediation Coaching und eLearning die Fix Rates um das bis zu Sechsfache verbessern. Und Entwickler, die ihre Anwendungen in einer Developer Sandbox getestet haben, verbessern die richtlinienbasierten Fix Rates um etwa das Zweifache.