Softwareentwicklung
Keine Zeit für Altlasten
Häufen sich Schulden an, wird es mit der Zeit immer schwieriger sie abzubauen. Das sollte nicht nur zum Allgemeinwissen von Finanzdienstleistern gehören, sondern auch von Softwareentwicklern und Programmierern. Fehler in Anwendungscodes können zu hohen Sicherheitsrisiken führen.
Je weiter die Digitalisierung voranschreitet, desto vielschichtiger werden die Anwendungen. Kein Wunder, denn Entwickler werden dazu angehalten, ihre Lösungen an die Wünsche und Anforderungen der Kunden anzupassen, um ihnen ein zufriedenstellendes Nutzererlebnis zu bescheren. Doch nicht nur die Funktionalität der Applikationen sollte im Fokus der Entwickler-Teams stehen. Sie müssen darüber hinaus der Behebung von Fehlern und Schwachstellen als Teil des Entwicklungsprozesses einen ebenso hohen Stellenwert einräumen. Für Veracodes State of Software Security (SoSS) Report Volume 10 wurden rund 85.000 Anwendungen von über 2.300 Unternehmen gescannt und die Daten anschließend ausgewertet. Ein vielversprechender Trend zeichnet sich in den Ergebnissen ab: In den letzten zehn Jahren, seit 2009 der erste SoSS-Report erschien, ist eine Verbesserung und Vergrößerung der Awareness in Sachen Anwendungssicherheit erkennbar.
117 Tage zur Fehlerbehebung
Im Report wird aufgeführt, dass 83 Prozent der Anwendungen mindestens einen Fehler beim ersten Scan aufwiesen. Unter den häufigsten Fehlern werden Informationslecks (64 Prozent), kryptografische Probleme (62 Prozent) und CRLF-Injektion (61 Prozent) aufgeführt. Laut des Reports von 2009, für den weitaus weniger Anwendungen hinzugezogen wurden, waren es 72 Prozent. 30 Prozent der Applikationen weisen sogar noch in ihrem letzten Scan nicht behobene Fehler auf. Heute geht nur jede fünfte Anwendung wirklich fehlerfrei in die Produktion. Aus den Ergebnissen ist ersichtlich, dass zwar über die Hälfte (56 Prozent) aller neu entstandenen Fehler und Schwachstellen in Anwendungscodes behoben werden. Da jedoch viel Zeit auf diese Arbeit verwendet wird, läuft das Entwickler-Team Gefahr, ältere Fehler zu vernachlässigen.
Wenn solche Fehler auftreten, dann brauchen Entwicklungsteams derzeit durchschnittlich 117 Tage, um diese Schwachstellen, die sich während des Entwicklungsprozesses in den Anwendungscode geschlichen haben, zu beheben. Zum Vergleich: 2009 brauchten sie dafür nur rund 59 Tage. Die Zeitspanne zur Fehlerbehebung hat sich fast verdoppelt. Der Median hält sich hingegen weiterhin bei 59 Tagen. Das bedeutet nicht, dass die zuständigen Entwickler-Teams nicht gewissenhaft ihrer Arbeit und Pflichten nachkommen. Vielmehr gibt es mittlerweile so viele Anwendungen wie noch nie zuvor und damit einhergehend auch so viele Fehler wie nie zu vor. Dadurch häufen sich diese schneller an und Entwickler müssen nicht nur die neusten Schwachstellen beheben, sondern sich auch um ältere kümmern.
Doch die angeführten Zahlen sind auch ein Indikator für ein langfristig schwerwiegenderes Problem: Ältere Schwachstellen stauen sich mit der Zeit an und umso länger sie bestehen, desto niedriger ist die Wahrscheinlichkeit, dass sie überhaupt behoben werden. Es kommt zu einer “Sicherheitsverschuldung”.
- Keine Zeit für Altlasten
- Der wachsende “Schuldenberg”
- Testanzahl bedingt Behebungszeitraum
Lesen Sie mehr zum Thema
