Software

Veracode: Sichere Softwareentwicklung braucht Superhelden für das neue Normal

Anwendungen und Plattformen sind die Grundpfeiler des digitalen Wandels. Durch Restriktionen und Einschränkungen im Rahmen der COVID-19-Pandemie wurde der Digitalisierungsschub nochmal enorm vorangetrieben. Die Zukunft ist ungewiss – der Bedarf an sicheren und digitalen Lösungen bleibt weiterhin hoch. Deshalb braucht die Softwareentwicklung Superhelden – sogenannte Security Champions – die Sicherheit bereits während den Entwicklungsprozess mitdenken. Julian Totzek-Hallhuber, Principal Solutions Architect bei Veracode, gibt Einblicke in die Fähigkeiten, die Security Champions ausmachen.

Die neue Normalität ist vor allem eins: Digital. Unternehmen und Verbraucher waren durch die Rahmenbedingungen der Pandemie gezwungen, ihre Prozesse und Tätigkeiten in die digitale Sphäre zu verschieben. Home-Office, E-Commerce oder E-Learning – all diese Services benötigen sichere und effiziente Anwendungen. Der elfte State of Software Security (SoSS) Report von Veracode deckt nun zahlreiche Schwächen im Bereich der Anwendungssicherheit auf. Um diese zu beseitigen, braucht die Softwareentwicklung wahre Superhelden.

Herausforderungen für die Anwendungssicherheit

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Dadurch bietet die branchenweit umfangreichste Studie einen umfassenden Überblick über den Status quo der Anwendungssicherheit. Eine zentrale Erkenntnis des aktuellen Reports: Scans sind ein entscheidender Faktor. Mithilfe von statischer Analyse (SAST) durch die API können Unternehmen Sicherheitsrisiken im Schnitt 17 Tage schneller beheben. Häufige Scans, eine Kombination aus statischer und dynamischer Analyse (DAST), die Implementierung einer regelmäßigen Scan-Rate sowie die Verwendung von Software-Composition-Analyse (SCA) mit SAST führen zu einer schnelleren Behebung von Schwachstellen und zu einer höheren Anwendungssicherheit. Außerdem können Entwickler durch die Wahl ihrer Werkzeuge die Anwendungssicherheit beeinflussen: Open-Source-Software ist anfällig für Angriffe durch Cyberkriminelle. Gleichzeitig stellen Programme, die mit C++ und PHP geschrieben wurden, ein erhöhtes Risiko dar. So weisen 59 Prozent der C++-Anwendungen hohe oder sogar sehr hohe Sicherheitsrisiken auf – bei PHP sind es 53 Prozent. Datenlecks sind die häufigste Art Fehler, die zu mangelnder Anwendungssicherheit führen. Die Herausforderung für Entwickler in Zukunft: Unterschiedliche Sicherheitsprobleme in einer zunehmend digitalisierten Umgebung identifizieren und beheben.

Softwareentwicklung braucht „Security Champions“

Agilität und Flexibilität sind heute und in Zukunft notwendige Attribute für jeden Entwickler. Zusätzlich kann umfassende Expertise dabei unterstützen, bestehende Probleme und Risiken nicht nur zu erkennen, sondern auch zu beheben. Daher sollten Entwickler in Zukunft nicht nur Programme entwickeln können, sondern auch relevante Qualitätskriterien für diese kennen und im Bereich Cybersecurity bewandert sein. Sie müssen ihre Programme testen und alle während des Entwicklungsprozesses entdeckten Schwachstellen beheben. Wahre Security Champions folgen dabei dem DevSecOps-Ansatz: Sie kombinieren Wissen und Praktiken aus der Softwareentwicklung, der IT-Sicherheit und dem IT-Betrieb. Dadurch entstehen Anwendungen, die bereits bei der Entwicklung maximal sicher sind. Zusätzlich können sie so zahlreiche Aufgaben gleichzeitig in hoher Geschwindigkeit erledigen und ein ununterbrochenes Deployment gewährleisten. Eine zentrale DevSecOps-Praxis sind beispielsweise regelmäßige Scans – eines der größten identifizierten Defizite im aktuellen SoSS Report.

Trainings für Entwickler wirken dem Fachkräftemangel in der IT-Sicherheitsbranche entgegen

Die richtige Weiterbildung und gezielte Sicherheitstrainings für Entwickler spielen für den Erfolg in der neuen digitalen Normalität eine große Rolle. Dennoch ist die Ausbildung rund um sicheres Coding auf universitärer Ebene fast nicht vorhanden – obwohl sie Kernbestandteil eines Informatik- und Cybersicherheits-Lehrplans sein sollte. Hier ist somit die Eigeninitiative der Unternehmen oder der Entwickler selbst gefragt, denn Superhelden in der Softwareentwicklung sind neugierig: Sie schauen über den Tellerrand, wollen immer auf dem neusten Stand bleiben und bilden sich durchgehend weiter. Security Champions können Unternehmen dabei helfen, diese Herausforderung zu meistern, indem sie Wissen zwischen Entwicklern und Sicherheitsteams vermitteln und gleichzeitig Flagge für die Ausbildung von Entwicklern zeigen.

Über Veracode

Veracode ist der weltweit größte Anbieter von Anwendungssicherheitslösungen (AppSec) und führender AppSec-Partner für die sichere Softwareentwicklung, Minimierung von Schwachstellen und Produktivitätssteigerung von Sicherheits- und Entwicklerteams. Durch die Kombination von Automatisierung, Integration, Geschwindigkeit und eines prozess-orientierten Ansatzes bietet Veracode Unternehmen akkurate und verlässliche Ergebnisse. Somit können sie sich darauf konzentrieren Schwachstellen nicht nur zu finden, sondern auch zu beheben.

Veracode hat über 2.500 Kunden weltweit aus den verschiedensten Branchen. Allein seit dem 1. Januar 2020 hat die Veracode-Lösung bereits mehr als 7,8 Billionen Code-Zeilen bewertet und Unternehmen dabei geholfen über 10,5 Millionen Schwachstellen insgesamt zu beheben.

Das preisgekrönte Partner-Programm von Veracode liefert marktführende Lösungen und Services, die mit minimalem Geschäftsaufwand schnell implementiert werden können.

Weitere Informationen unter http://www.veracode.com/, im Veracode Blog und auf Twitter.

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Katy Gwilliam
Head of PR EMEA
E-Mail: kgwilliam@veracode.com
Julia da Silva Bastos
Telefon: +49 (151) 193152-59
E-Mail: julia.bastos@hotwireglobal.com
Lara Weber
Hotwire für Veracode
Telefon: +49 1714412450
E-Mail: Lara.Weber@Hotwireglobal.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel