-
Zwei Jahre nach Log4Shell: Die Gefahr ist nicht gebannt – Was ist zu tun?
Vor rund zwei Jahren, am 9. Dezember 2021, wurde die Welt in höchste Alarmbereitschaft versetzt, weil eine der kritischsten Zero-Day-Schwachstellen aller Zeiten bekannt wurde: Log4Shell. Veracode hat die Schwachstelle seither beobachtet. Nachfolgend stellen wir Ihnen einen Kommentar zur Veröffentlichung zu Verfügung. Weitere Informationen finden Sie hier: State of Log4j Vulnerabilities: How Much Did Log4Shell Change? | Veracode Vor zwei Jahren wurde eine der kritischsten Zero-Day-Schwachstellen aller Zeiten bekannt: Log4Shell. Die Schwachstelle mit dem höchstmöglichen Schweregrad (10.0) befand sich in Apache Log4j, einem allgegenwärtigen Open-Source Java-Protokollierungs-Framework. Nach Schätzungen von Veracode haben damals 88 Prozent der Unternehmen Apache Log4j eingesetzt. Angreifer konnten die Schwachstelle (CVE-2021-44228) in den Log4j-Versionen Log4j2 2.0-beta9 bis 2.15.0 (mit…
-
Die 5 Top-Software-Security-Trends 2024 von Veracode
1. Angreifer setzen für den Einbau subtiler Schwachstellen in Open Source Software auf GenAI. Angreifer, die es auf die Software-Lieferkette abgesehen haben, werden GenAI nutzen, um subtile Schwachstellen in Open Source Software-Projekte (OSS) einzubauen. Die Schwachstellen sind dabei so konzipiert, dass sie durch eine menschliche Codeüberprüfung nicht aufgedeckt werden können. Das könnte zu weitreichenden Angriffen auf Software-Lieferketten führen, wenn Unternehmen die kompromittierten OSS-Pakete in ihrer eigenen Software verwenden. 2. Ein von generativer KI geschriebener Code führt zu höherer Anfälligkeit. Im Jahr 2024 ist damit zu rechnen, dass ein von generativer KI geschriebener Code anfälliger ist und von Angreifern in hohem Maße ausgenutzt wird. Insbesondere große Unternehmen dürften dafür ins…
-
Chancen und Risiken von GenAI in der Softwareentwicklung
ChatGPT hat viele Bereiche aufgemischt. Einer davon ist die Softwareentwicklung in Unternehmen, die sich mit ChatGPT bereits grundlegend verändert hat. Eine Programmierfrage zu stellen und eine fundierte Antwort per Knopfdruck zu bekommen – das hat einen extrem positiven Einfluss darauf, wie schnell und effizient Entwickler Softwarecode schreiben können. In Zeiten des Fachkräftemangels in der Softwareentwicklung und mit dem hohen Anspruch an Innovation und Time-to-Market sowie hohem Digitalisierungs-Druck ist das ein enormer Gewinn für Unternehmen. Doch oft werden diese Modelle auf riesigen Datenmengen und Informationen aus dem Internet trainiert. So ist der KI-generierte Code dem von Menschen erzeugten Code verblüffend ähnlich, allerdings inklusive Bugs und Sicherheitslücken. Wenn wir hier nicht aufpassen,…
-
Veracode revolutioniert Cloud-native Sicherheit mit einem neuen dynamischen Duo: DAST Essentials und Veracode GitHub App
Veracode kündigt zur AWS re:Invent zwei Produktinnovationen an, die die Entwickler-Experience verbessern. Die neuen Funktionen integrieren Sicherheit weiter in den Softwareentwicklungs-Lebenszyklus (SDLC) und fördern die Akzeptanz von Sicherheitstechniken für Anwendungen in den Umgebungen, in denen Entwickler arbeiten. The Next Frontier: DAST Essentials Webanwendungen sind für 60 Prozent der Sicherheitsverletzungen verantwortlich1 und API-Angriffe stiegen bis 2022 um 137 Prozent an.2 Daher ist es von größter Bedeutung, dass Cloud-native Anwendungen ausreichend geschützt und kontinuierlich überwacht werden. Dynamisches Scannen analysiert in Echtzeit laufende Webanwendungen mit realen Angriffsmethoden in einer sicheren Umgebung und kann in einer Vorproduktionsumgebung – innerhalb des SDLC – durchgeführt werden. Herkömmliche punktuelle Lösungen können das nicht und bieten oft nicht die Skalierbarkeit…
-
Veracode-Studie zeigt: Automatisierung und Schulung sind die wichtigsten Treiber für Softwaresicherheit bei Finanzdienstleistern
72 % der Finanzdienstleistungsanwendungen enthalten Sicherheitslücken. Durch API-gestütztes Scannen und interaktives Sicherheitstraining sinkt die Wahrscheinlichkeit, dass ein Fehler in Code eingeführt wird, auf 22 %. Der Finance-Sektor schneidet unter allen Branchen laut dem Software-Security Report 2023 am besten ab. Veracode, ein weltweit führender Anbieter von intelligenter Softwaresicherheit, veröffentlicht einen Studien-Report, der die Schlüsselfaktoren für die Einführung und Häufung von Sicherheitslücken im Finanzdienstleistungssektor aufzeigt. Anwendungen der Finanzbranche sind im Allgemeinen sicherer als in anderen Branchen. Automatisierung, gezielte Sicherheitsschulungen und Scans der Anwendungsprogrammierschnittstelle (API) tragen dazu bei, dass die Anzahl an Schwachstellen von Jahr zu Jahr geringer wird. Vor dem Hintergrund des Digital Operational Resilience Act (DORA) der EU, der sich auf den Finanzdienstleistungssektor auswirkt, gibt die Studie von Veracode Empfehlungen zur Reduzierung von Schwachstellen in…
-
Was wir von Hackern lernen können
Cyberangriffe finden nicht mehr nur manuell statt. Hacker verwenden schon heute generative KI für ihre Angriffe und lassen sich schädlichen Code automatisiert erstellen. Wir sollten von den Hackern lernen und hier Feuer mit Feuer bekämpfen. Wenn Hacker generative KI für Angriffe verwenden, müssen wir sie eben auch nutzen, um uns besser zu verteidigen. Diese innovative Technologie spielt bereits eine ausschlaggebende Rolle im Kampf um unsere Daten. Es ist schon heute möglich, KI-Modelle zum automatisierten Suchen und Finden von Sicherheitslücken in Softwarecode sowie zu deren Problembehebung zu nutzen. Entwickler können so auf automatisierte Lösungsvorschläge zurückgreifen und brauchen nur noch einen Bruchteil der Zeit zur Fehlerbehebung. Ihre Verwendung macht Anwendungen nicht nur sicherer,…
-
Software-Sicherheit: Berufsbegleitende Schulungen – aber bitte ohne Langeweile und mit Praxisbezug
Die meisten Programmierer starten ohne grundlegende Kenntnisse der sicheren Programmierung ins Berufsleben. Deshalb ist essenziell, dass Entwickler Zugang zu effektiven Schulungsmöglichkeiten am Arbeitsplatz haben, um mit den Änderungen bei Schwachstellen und bewährten Programmierverfahren Schritt zu halten. Viele Unternehmen bieten zwar erste Sicherheitsschulungen oder Selbstlernmodule für Mitarbeiter an. Doch nur selten befähigen diese Entwickler dazu, das Gelernte in die Praxis umzusetzen. Denn oft sind die Schulungsübungen zu allgemein und langweilig sowie weit von der tatsächlichen Identifizierung und Behebung von Schwachstellen entfernt. Das macht es schwierig, das Gelernte zu behalten und in die Praxis umzusetzen. Entwickler versuchen in der Regel, kontinuierlich neue Programmiertechniken zu erlernen – das liegt in ihrer DNA. Mangelndes…
-
Software-Sicherheit: Warum der Druck auf die Entwickler weg muss
Hacker richten ihre Aufmerksamkeit weiterhin auf die Anwendungslandschaft als Einstiegspunkt für die Kompromittierung von Systemen. Nicht weniger als 76 % der Applikationen/Anwendungen weltweit weisen mindestens eine Sicherheitslücke auf. Das zeigt: Die Sicherung von Software muss eine Priorität für alle sein, die in Unternehmen für das Thema Cybersicherheit verantwortlich sind. Doch nur für 29 % der Entwickler in Führungspositionen ist die Verbesserung der Software-Sicherheit eines der Top-Ziele für die nächsten 12 Monate. Viele Entwickler sind aufgrund eines erschreckenden Mangels an Schulungs- und Weiterbildungsmöglichkeiten nicht darauf vorbereitet, sicheren Code zu schreiben und Systeme zu erstellen, die von vornherein sicher sind. Angesichts des ständigen Drucks, mehr Code in noch kürzerer Zeit zu produzieren, können es sich die Entwicklungsteams nicht…
-
Software-Sicherheit: Warum sich die Aus- und Weiterbildung von Programmierern ändern muss und wie
Mit welchen Methoden attackieren externe Hacker bevorzugt ihre Opfer? 26 % greifen die Software Supply Chain an, 25 % führen Software Vulnerability Exploits aus, 22 % greifen mit Phishing an, 21 % mit Social Engineering und 21 % mit strategischen Web-Angriffen – so der Forrester State of Application Security Report 2023 https://www.forrester.com/…. Diese Zahlen zeigen deutlich, dass Lücken in der Software-Sicherheit zu den Top-Einfallstoren für die Angreifer zählen. Doch warum ist Software nicht sicherer? Dafür gibt es viele Gründe. Einer der wichtigsten ist die mangelnde Ausbildung in sicherer Programmierung. Hochschulen haben Mühe, mit der Entwicklung Schritt zu halten, und die Studenten werden nicht ausreichend auf die Realität vorbereitet. Die Cybersicherheits-Ausbildung…
-
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
Fast 20 % der Anwendungen weisen "hochgradige" Schwachstellen auf. Die Software-Sicherheit in der EMEA-Region hinkt hinter anderen Regionen her. EMEA-Organisationen sind einem erhöhten Risiko durch Schwachstellen in Drittanbieter- und KI-generiertem Code ausgesetzt. Veracode, ein weltweiter Anbieter von intelligenter Softwaresicherheit, veröffentlicht heute seine Studie „State of Software Security (SoSS)-Report EMEA“. Die Ergebnisse im Report zeigen, dass Anwendungen, die von Organisationen in Europa, dem mittleren Osten und Afrika entwickelt werden, tendenziell mehr Sicherheitslücken enthalten als ihre Pendants aus US-amerikanischer Entwicklung. Unter allen Regionen weist die EMEA-Region auch den höchsten Prozentsatz an Schwachstellen mit hohem Schweregrad auf. Das bedeutet, dass bei Ausnutzung einer Schwachstelle ein kritisches Problem in der jeweiligen Anwendung entstehen könnte.…