Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Keine Zeit für Altlasten

Softwareentwicklung

Keine Zeit für Altlasten

4. Juni 2020, 16:00 Uhr | Autor: Julian Totzek-Hallhuber / Redaktion: Diana Künstler
Fortsetzung des Artikels von Teil 2

Testanzahl bedingt Behebungszeitraum

Veracode SOSS Vol. 10, Percent of Applications with Flaw
Die Grafik greift die Frage auf, welche Arten von Fehlern am häufigsten auftreten. Gegenübergestellt werden die Ergebnisse aus dem Report Volume 1 aus dem Jahr 2009 zu den Ergebnissen aus der Volume 10 vom vergangenen Jahr. Die beiden wichtigsten Fehlertypen aus Report 1, kryptografische Probleme und Informationsleckage, finden sich auch zehn Jahre später auf der Pole Position, allerdings mit vertauschten Plätzen. CRLF und unzureichende Eingabevalidierung scheinen die beiden größten Gewinner des Jahrzehnts zu sein, dicht gefolgt von Credential Management. Dies kann mehr auf die Ausweitung der Scannerabdeckung als auf einen vorherrschenden Trend zurückzuführen sein.
© Veracode SOSS Vol. 10

Der Report konnte zudem einen eindeutigen Zusammenhang zwischen der Häufigkeit durchgeführter Tests und der Zeitspanne feststellen, in der Fehler identifiziert und behoben werden. Die Zahlen sprechen Bände: Führt ein Unternehmen nur ein bis zwölf Scans in einem Jahr durch, also maximal ein Scan pro Monat, umfasst die Zeitspanne, um fehlerhafte Applikationen zu reparieren (MTTR), durchschnittlich 68 Tage. Sobald Scans regelmäßiger durchgeführt werden – also mindestens 260 pro Jahr – sinkt der MTTR auf unglaubliche 19 Tage. Das ist eine Einsparung von 72 Prozent der Zeit. Häufiges Testen während des gesamten Entwicklungszyklus zahlt sich also aus.

Anbieter zum Thema

Panduit
dtm Datentechnik Moll GmbH
Securepoint GmbH
Zyxel Networks A/S
WatchGuard Technologies
Matchmaker+
zu Matchmaker+

Langfristig gesehen kann das gründliche und häufige Suchen nach Fehlern das Risiko der Sicherheitsverschuldung verringern, da während der Entwicklung folglich weniger Schwachstellen auftreten, die das Team im Nachgang beheben muss. Aus dem Report geht hervor, dass Unternehmen, die ihren Code mehr als 300-mal im Jahr auf Fehler hin untersuchen, fünfmal weniger Sicherheitsschulden anhäufen.

Der Anteil von schwerwiegenden Fehlern ist innerhalb der letzten zehn Jahre von 34 Prozent auf 20 Prozent gesunken. Diese 14 Prozent beweisen, dass Development-Teams mittlerweile ihre Fähigkeiten darin verbessern konnten, diese ernstzunehmenden Schwachstellen zu identifizieren und ihnen somit eine höhere Priorität einzuräumen. Die Priorisierung von Fehlern ist unerlässlich für eine erfolgreiche Reduzierung von Sicherheitsschulden.

Kontinuität ist das A und O
Unternehmen müssen in Strategien investieren, die die Sicherheit ihrer Software nicht nur kurzfristig verbessern, sondern auch langfristigen Erfolg bei der Innovation durch neue Anwendungen bringen. Nicht behobene Fehler in Anwendungscodes können zu einem langfristigen Problem werden, da sie sich in Form von Sicherheitsschulden immer weiter anhäufen. Kontinuierliches Testen in einer DevSec-Ops-Umgebung hilft den Entwickler-Teams dabei, Schwachstellen frühzeitig zu identifizieren und zu beheben. Das hilft nicht nur gegen akute Problemfälle, sondern auch gegen eine weitere Anhäufung der Sicherheitsverschuldung.

Julian Totzek-Hallhuber ist Solution Architect bei Veracode.

  1. Keine Zeit für Altlasten
  2. Der wachsende “Schuldenberg”
  3. Testanzahl bedingt Behebungszeitraum

Lesen Sie mehr zum Thema

Veracode Sicherheit Viren-/Malware-Schutz
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Veracode

Veracode Software Security Report

Mehr als 70 Prozent der Unternehmen haben Security-Schulden

Open Source Security

Klare Regeln gefordert

Application Security

Broadcom verkauft Veracode an Investmentfirma

Cyber-Angriffe

Die vier größten Hacks des vergangenen Jahres

Software-Sicherheit

Open-Source-Software sicher machen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Matchmaker+
G DATA CyberDefense AG

G DATA CyberDefense AG
easybell GmbH

easybell GmbH
AixpertSoft GmbH

AixpertSoft GmbH
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
Xelion GmbH

Xelion GmbH
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH