Zwei Jahre nach Log4Shell: Die Gefahr ist nicht gebannt – Was ist zu tun?
Vor zwei Jahren wurde eine der kritischsten Zero-Day-Schwachstellen aller Zeiten bekannt: Log4Shell. Die Schwachstelle mit dem höchstmöglichen Schweregrad (10.0) befand sich in Apache Log4j, einem allgegenwärtigen Open-Source Java-Protokollierungs-Framework. Nach Schätzungen von Veracode haben damals 88 Prozent der Unternehmen Apache Log4j eingesetzt.
Angreifer konnten die Schwachstelle (CVE-2021-44228) in den Log4j-Versionen Log4j2 2.0-beta9 bis 2.15.0 (mit Ausnahme der Sicherheitsversionen 2.12.2, 2.12.3 und 2.3.1) ausnutzen, um RCE-Angriffe (Remote Code Execution) durchzuführen. Schätzungsweise Hunderte von Millionen an betroffenen Systemen mussten gepatcht werden – ein riesiger Aufwand.
Zum zweijährigen Jubiläum hat Veracode den Stand der Log4Shell-Schwachstellen erneut untersucht, um zu sehen, ob es Fortschritte in der Open-Source-Software-Sicherheit gibt. Die Ergebnisse zeigen, dass das Risiko zur Ausnutzung der Schwachstelle deutlich reduziert wurde. Allerdings enthalten 38 Prozent der Anwendungen in Unternehmen immer noch anfällige Versionen von Log4j.
Dabei fehlt es selten an den Fähigkeiten, die Mängel zu korrigieren. Viele Unternehmen scheinen sich vielmehr nicht bewusst zu sein, welchen Open-Source-Risiken sie ausgesetzt sind und wie sie diese reduzieren können. Oft mangelt es an Informationen und/oder an Ressourcen. Log4j ist nur ein Beispiel dafür, welche Risiken sich in Open Source Code verbergen können. Deswegen benötigen Entwickler Sicherheits-Richtlinien und Tools, um Sicherheitslücken einfacher zu finden, zu bekämpfen und um ihre eigene Arbeitslast zu verringern.
Mit SCA (Software Composition Analysis) und Infrastructure as Code-Scanning können Verantwortliche zulässige Open-Source-Module festlegen, die Entwickler verwenden dürfen. Außerdem sind Richtlinien hilfreich, die Open-Source-Schwachstellen nach Schweregrad und/oder "Breaking the Build" verbieten. So dürfen Entwickler keine Änderungen einführen, die neue Schwachstellen (im eigenen oder fremden Code) mit sich bringen.
Auch wenn Organisationen Software kaufen, sollten sie immer wissen, was in ihr enthalten ist. Dafür sind SBOMs (Software Bill of Materials) für die installierte Software von Drittanbietern nützlich. So ist es möglich, Schwachstellen schnell zu erkennen und zu beheben, bevor ernsthafte Probleme entstehen.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Urheberrecht © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Pressekontakt
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com?
Maisberger GmbH
Telefon: 49 (89) 419599-32
E-Mail: veracode@maisberger.com?
Veracode
E-Mail: kgwilliam@veracode.com
Die 5 Top-Software-Security-Trends 2024 von Veracode
1. Angreifer setzen für den Einbau subtiler Schwachstellen in Open Source Software auf GenAI.
Angreifer, die es auf die Software-Lieferkette abgesehen haben, werden GenAI nutzen, um subtile Schwachstellen in Open Source Software-Projekte (OSS) einzubauen. Die Schwachstellen sind dabei so konzipiert, dass sie durch eine menschliche Codeüberprüfung nicht aufgedeckt werden können. Das könnte zu weitreichenden Angriffen auf Software-Lieferketten führen, wenn Unternehmen die kompromittierten OSS-Pakete in ihrer eigenen Software verwenden.
2. Ein von generativer KI geschriebener Code führt zu höherer Anfälligkeit.
Im Jahr 2024 ist damit zu rechnen, dass ein von generativer KI geschriebener Code anfälliger ist und von Angreifern in hohem Maße ausgenutzt wird. Insbesondere große Unternehmen dürften dafür ins Visier der Angreifer geraten. Dabei werden Hacker vor allem auf die Offenlegung von Kundendaten abzielen. Die Schwachstelle wird wahrscheinlich eine OS Command Injection oder eine andere Schwachstelle aus den CWE Top 25 sein.
3. Ransomware-Angreifer setzen börsennotierte Unternehmen zusätzlich mit Meldepflichten unter Druck, um Lösegeld zu erhalten.
Ransomware-Angreifer, die immer auf der Suche nach neuen Erpressungsmustern sind, werden vor allem bei börsennotierten Unternehmen neue Strategien anwenden können und sich die gesetzliche Meldepflicht von Sicherheitsverletzungen zu Nutze machen, um noch mehr Druck auszuüben. Sie könnten die Daten also nicht nur entwenden und dafür Lösegeld verlangen, sondern zusätzlich gestohlene Daten nach außen dringen lassen und damit drohen, die SEC oder andere Aufsichtsbehörden zu benachrichtigen, wenn nicht bezahlt wird. Diese neue Erpressungstaktik setzt vor allem darauf, dass das Opfer gegen behördliche Vorschriften zur Meldung von Sicherheitsverletzungen verstoßen hat. Je nach Wirksamkeit könnte sich diese Strategie in den nächsten Monaten auch andere Arten von gesetzlichen Meldepflichten zu Nutze machen.
4. DORA (Digital Operational Resilience Act) bringt bestimmte Branchen in Zugzwang.
Die DORA-Verordnung der Europäischen Kommission verpflichtet Finanzunternehmen, Versicherer und Betreiber von kritischen Infrastrukturen sowie IKT-Dienstleister (Informations- und Kommunikations-Technologien) bis Januar 2025 ihre Widerstandsfähigkeit in der IT zu erhöhen. Dementsprechend werden sich ab 2024 viele Unternehmen bemühen, die Vorschriften umzusetzen. DORA schafft im europäischen Raum einen einheitlichen Rahmen zur Minimierung von IT-Risiken und Cyberangriffen. Betroffene Unternehmen sind verpflichtet, kritische IKT-Systeme und -Anwendungen jährlich durch unabhängige Prüfer auf Mängel und Sicherheitslücken überprüfen zu lassen. Schwerwiegende Mängel und Sicherheitsvorfälle müssen künftig umgehend an die zuständigen Aufsichtsbehörden gemeldet werden.
5. Die Vermeidung von Schwachstellen im Code wird wichtiger als das Finden und Beheben von Schwachstellen im Software-Code
Vor allem wird der Fokus künftig darauf liegen, dass Schwachstellen nicht in die Code-Basis oder in Quell-Code Repositories gelangen. Dazu wird sich das Cybersecurity-Umfeld in folgenden Bereichen weiterentwickeln:
- Prävention: Ziel ist es, zu verhindern, dass Libraries oder vorübergehende Abhängigkeiten, die bekannte Schwachstellen haben, in Open Source Libraries importiert werden. So können Security-Verantwortliche darauf vertrauen, dass durch den Einsatz von Open Source Software nicht neue Schwachstellen entstehen.
- Infrastructure-as-Code: Die intelligente Interpretation von Code-Fragmenten und ihrer möglichen negativen Auswirkung auf die Sicherheit ist entscheidend, damit Entwickler Code-Fragmente sicher verwenden können.
- Container Images: Ein umfassender und intelligenter Detection-Mechanismus wird entscheidend sein, um den Einsatz von unsicheren Container Images zu verhindern, die zu potenziellen ‚All Access Exploits‘ führen könnten, wenn sie produktiv gehen. Nur künftige Weiterentwicklungen in diese Richtung ermöglichen es Entwicklern, schnell und sicher zu coden.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Pressekontakt
E-Mail: veracode@maisberger.com?
Veracode
E-Mail: kgwilliam@veracode.com
Veracode revolutioniert Cloud-native Sicherheit mit einem neuen dynamischen Duo: DAST Essentials und Veracode GitHub App
The Next Frontier: DAST Essentials
Webanwendungen sind für 60 Prozent der Sicherheitsverletzungen verantwortlich1 und API-Angriffe stiegen bis 2022 um 137 Prozent an.2 Daher ist es von größter Bedeutung, dass Cloud-native Anwendungen ausreichend geschützt und kontinuierlich überwacht werden. Dynamisches Scannen analysiert in Echtzeit laufende Webanwendungen mit realen Angriffsmethoden in einer sicheren Umgebung und kann in einer Vorproduktionsumgebung – innerhalb des SDLC – durchgeführt werden. Herkömmliche punktuelle Lösungen können das nicht und bieten oft nicht die Skalierbarkeit und Flexibilität, die Unternehmen mit wachsendem Software-Bedarf benötigen. Im Gegensatz dazu ist DAST Essentials von Veracode eine flexible Lösung, die es Entwicklern und Sicherheitsteams ermöglicht, Risiken einfach, schnell und in großem Umfang anzugehen.
"Da Unternehmen weiterhin mit der Herausforderung zu kämpfen haben, eine immer größer werdende Angriffsfläche zu sichern, ist der Bedarf an umfassenden Lösungen unbestreitbar. Der Spagat zwischen Entwicklungsgeschwindigkeit und robuster Sicherheit ist eine gewaltige Aufgabe, die durch die zeitaufwändige Natur regelmäßiger dynamischer Scans und die fehlende Verbindung zwischen Entwicklungs- und Sicherheitsteams erschwert wird", sagt Katie Norton, Senior Research Analyst, DevOps und DevSecOps, bei IDC. "Lösungen wie Veracode DAST Essentials, die integriert sind und die Reibungsverluste für Entwickler reduzieren, tragen dazu bei, die Entwicklung sicherer Software zu beschleunigen, die Abhilfemaßnahmen zu vereinheitlichen und Unternehmen in die Lage zu versetzen, ihre Abwehrkräfte in der sich entwickelnden Cybersicherheitslandschaft zu stärken."
Die False-Positive-Raten von Veracode DAST Essentials liegen nach Angaben von Kunden unter fünf Prozent. Die Lösung scannt und testet mehrere Webanwendungen und APIs (Application Programming Interfaces) gleichzeitig. Der State of Software Security-Report von Veracode zeigt, dass 80 Prozent der Webanwendungen kritische Schwachstellen aufweisen, die nur durch dynamisches Scannen identifizierbar sind. Dies unterstreicht die entscheidende Rolle, die DAST (Dynamic Application Security Testing) in einem robusten Anwendungssicherheitsprogramm spielt, um sicherzustellen, dass Unternehmen Schwachstellen in Cloud-nativer Software präzise und schnell beheben können.
Der Spezialist für Supply-Chain-Lösungen, Manhattan Associates, entschied sich für eine Partnerschaft mit Veracode für sein dynamisches Analyse- und Cloud-native Sicherheitsprogramm. Rob Thomas, Executive Vice President, Research & Development and Cloud Operations bei Manhattan Associates, sagt: "Veracodes langjährige Erfahrung in der Branche und die Tatsache, dass sie Cloud-basiert arbeiten, bedeutet, dass sie kontinuierlich Innovationen bereitstellen können. Mit einer Cloud-nativen Lösung wie von Veracode scannen wir unsere Software kontinuierlich und haben in Echtzeit die Gewissheit, dass unsere Anwendungen so sicher wie möglich sind."
Verbesserte Arbeitsabläufe für Entwickler: Veracode GitHub App
Veracode kennt die Herausforderungen, denen sich Entwickler bei der Einführung von Cloud-nativen Sicherheitsmaßnahmen stellen müssen, ohne ihre Arbeitsabläufe zu unterbrechen. Die Veracode GitHub App erleichtert Entwicklern den Einsatz von Sicherheitsmaßnahmen. Sicherheitsteams konfigurieren diese nur einmal und können Entwickler nahtlos einbinden. Diese Integration ermöglicht es Entwicklern, Code in den Umgebungen, in denen sie arbeiten, schnell zu korrigieren – mit einem einzigen Tool für statische, Software Composition Analysis (SCA) und Container Security Scanning. Das Ergebnis ist ein schnellerer, reibungsloser Entwicklungsprozess, der die Sicherheit nicht beeinträchtigt.
Verbessertes Repo-Scanning
Das erstmalige Scannen von Cloud-nativen Anwendungen ist oft ein manueller, komplexer und frustrierender Prozess. Die Veracode GitHub App vereinfacht diesen Prozess, indem sie Entwicklern Scan-Ergebnisse in ihrer bevorzugten Umgebung liefert. DevOps-Teams können Repositories einfach und ohne manuelle Einrichtung einbinden, wodurch die Entwicklungsgeschwindigkeit aufrechterhalten und die Scan-Prozesse rationalisiert werden. Mit der Möglichkeit, Scan-Konfigurationen für Hunderte von Repositories mit einem einzigen Klick zu standardisieren, können DevOps-Teams Reibungsverluste reduzieren und Cloud-native Sicherheit viel früher in den Entwicklungszyklus integrieren.
Bedeutung der Akzeptanz von Sicherheitstools
Laut einer aktuellen Studie des Analystenhauses IDC ist für 84 Prozent der Unternehmen die Akzeptanz von Sicherheitstools durch die Entwickler die "wichtigste Voraussetzung" oder eine "sehr wichtige Voraussetzung" bei der Einführung von DevSecOps.3 Die jüngsten Innovationen von Veracode definieren den Ansatz zur Absicherung von Cloud-nativen Anwendungen während des gesamten SDLC neu und unterstreichen das Engagement des Unternehmens, eine einheitliche Plattform für ein umfassendes Sicherheitsrisikomanagement bereitzustellen.
Brian Roche, Chief Product Officer bei Veracode, sagt: "Entwickler stehen unter einem immensen Druck, Innovationen schnell zu entwickeln und greifen oft auf Mechanismen wie LLMs und Open Source zurück, um den Prozess zu beschleunigen. Leider kann dieser Ansatz dazu führen, dass unsicherer Code verwendet wird und Lösungen entstehen, die Sicherheitsrisiken eher verschlimmern, als sie zu mindern. Verschärft wird die Situation durch Sicherheitstools, die die Komplexität eher erhöhen als vereinfachen.
Veracode geht diese Herausforderung an, indem es eine einheitliche Plattform bereitstellt, die nicht nur Risiken überwacht und mindert, sondern auch die Arbeitsabläufe von Entwicklern über Repositories, IDEs und die Cloud hinweg optimiert. Durch die Bereitstellung von entwicklerfreundlichen Sicherheitstools versetzen wir Unternehmen in die Lage, sichere Software schneller bereitzustellen, ohne Kompromisse zwischen Sicherheit und Geschwindigkeit eingehen zu müssen. Die Gewährleistung der Sicherheit von Cloud-nativen Anwendungen war noch nie so wichtig wie heute. Entwickler setzen den Code genauso zusammen, wie sie ihn schreiben, was bedeutet, dass selbst die sorgfältigsten Anwendungen anfällig für Bedrohungen sind. Um die Software-Lieferkette zu schützen, braucht es in der modernen Anwendungsentwicklung einen Paradigmenwechsel in der Sicherheitspraxis. Da sich verteilte Cloud-App-Entwicklungsmethoden durchsetzen, zeigen unsere jüngsten Produktinnovationen, dass Veracode die dynamische Natur der Cloud-Native-Landschaft nutzt, um bei der Sicherung unserer digitalen Zukunft die Führung zu übernehmen."
Diese Ankündigung folgt auf die Markteinführung der KI-gestützten Remediation-Engine Veracode Fix Anfang des Jahres, die als eines der 20 besten Cybersecurity-Produkte und interessantesten Lösungen auf der RSA Conference 2023 ausgezeichnet wurde.
Veracode auf der AWS re:Invent
Die neuen Lösungen von Veracode werden auf der AWS re:Invent 2023 vom 27. November bis 1. Dezember in Las Vegas an Stand Nr. 270 vorgestellt.
1 Verizon, “2023 Data Breach Investigations Report,” Juni 2023
2 Akamai, State of the Internet (SOTI) report, April 2023
3 IDC, “DevSecOps Adoption, Techniques, and Tools Survey, 2023,” Katie Norton and Jim Mercer, Mai 2023
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Urheberrecht © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 89 419599-32
E-Mail: veracode@maisberger.com?
Veracode
E-Mail: kgwilliam@veracode.com
Was wir von Hackern lernen können
Wir sollten von den Hackern lernen und hier Feuer mit Feuer bekämpfen. Wenn Hacker generative KI für Angriffe verwenden, müssen wir sie eben auch nutzen, um uns besser zu verteidigen.
Diese innovative Technologie spielt bereits eine ausschlaggebende Rolle im Kampf um unsere Daten. Es ist schon heute möglich, KI-Modelle zum automatisierten Suchen und Finden von Sicherheitslücken in Softwarecode sowie zu deren Problembehebung zu nutzen. Entwickler können so auf automatisierte Lösungsvorschläge zurückgreifen und brauchen nur noch einen Bruchteil der Zeit zur Fehlerbehebung. Ihre Verwendung macht Anwendungen nicht nur sicherer, sondern reduziert auch die Arbeitslast der Mitarbeitenden stark, wodurch sie Zeit für andere Aufgaben gewinnen, die ansonsten vielleicht zu kurz kommen.
Doch bei der Wahl des KI-Tools ist Vorsicht geboten. Öffentlich zugängliche KI, die mit ungefilterten Datensätzen trainiert wurde, bringt hier oftmals mehr Schaden als Nutzen. Denn deren Datenbasis wird allgemein nicht von Experten geprüft und kann Fehler enthalten, die anschließend von der KI reproduziert werden. Stattdessen braucht es Tools, die auf Responsable AI basieren, die mit von Sicherheitsexperten sorgfältig kuratierten Daten trainiert wurde. Diese Daten sollten außerdem aus genau dem Umfeld stammen, in dem die KI eingesetzt wird. Sensible Attribute der Daten, die zum Training verwendet werden, gilt es zu anonymisieren oder zu maskieren. Zudem ist die Verwendung kryptografischer Techniken für die Datenverschlüsselung sinnvoll. Nur so wird KI auch für Entwickler ein wirklich wertvolles Tool.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von sorgfältig kuratierten, vertrauenswürdigen Datensätzen auf Basis der Analyse von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Software-Sicherheit: Berufsbegleitende Schulungen – aber bitte ohne Langeweile und mit Praxisbezug
Viele Unternehmen bieten zwar erste Sicherheitsschulungen oder Selbstlernmodule für Mitarbeiter an. Doch nur selten befähigen diese Entwickler dazu, das Gelernte in die Praxis umzusetzen. Denn oft sind die Schulungsübungen zu allgemein und langweilig sowie weit von der tatsächlichen Identifizierung und Behebung von Schwachstellen entfernt. Das macht es schwierig, das Gelernte zu behalten und in die Praxis umzusetzen.
Entwickler versuchen in der Regel, kontinuierlich neue Programmiertechniken zu erlernen – das liegt in ihrer DNA. Mangelndes Interesse ist also nicht das Problem – auch nicht, wenn es um Software-Sicherheit geht. Vielmehr ist es der Mangel an interessanten und wirklich hilfreichen Schulungsmöglichkeiten. Die Lösung besteht darin, Schulungen zu Software-Sicherheit sinnvoll zu gestalten – sowohl ansprechend als auch anwendbar. Es geht darum, praktische Lernmöglichkeiten zur Verfügung zu stellen. Dabei sollten Programmierer echten Code nutzen und patchen können sowie Echtzeit-Feedback bekommen. Dann fällt es ihnen leichter, die erlernten AppSec-Prinzipien auf den von ihnen geschriebenen Code anzuwenden. Denn nur unmittelbare Feedbackschleifen helfen den Programmierern, Anwendungssicherheit in realen Szenarien zu lernen und zu üben, die ihren Arbeitsablauf widerspiegeln. Und nur so bekommt Software-Sicherheit den Stellenwert, den sie verdient – zum Nutzen aller: der Programmierer, der Unternehmen und ihrer Kunden bzw. Anwender.
Urheberrecht © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com
Maisberger GmbH
Telefon: +49 (89) 419599-32
E-Mail: veracode@maisberger.com
Veracode
E-Mail: kgwilliam@veracode.com
Software-Sicherheit: Warum der Druck auf die Entwickler weg muss
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 41959927-32
E-Mail: veracode@maisberger.com
Veracode
E-Mail: kgwilliam@veracode.com
Software-Sicherheit: Warum sich die Aus- und Weiterbildung von Programmierern ändern muss und wie
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog, auf LinkedIn und Twitter.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 41959927-32
E-Mail: veracode@maisberger.com
Veracode
E-Mail: kgwilliam@veracode.com
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
- Fast 20 % der Anwendungen weisen "hochgradige" Schwachstellen auf.
- Die Software-Sicherheit in der EMEA-Region hinkt hinter anderen Regionen her.
- EMEA-Organisationen sind einem erhöhten Risiko durch Schwachstellen in Drittanbieter- und KI-generiertem Code ausgesetzt.
Veracode, ein weltweiter Anbieter von intelligenter Softwaresicherheit, veröffentlicht heute seine Studie „State of Software Security (SoSS)-Report EMEA“. Die Ergebnisse im Report zeigen, dass Anwendungen, die von Organisationen in Europa, dem mittleren Osten und Afrika entwickelt werden, tendenziell mehr Sicherheitslücken enthalten als ihre Pendants aus US-amerikanischer Entwicklung. Unter allen Regionen weist die EMEA-Region auch den höchsten Prozentsatz an Schwachstellen mit hohem Schweregrad auf. Das bedeutet, dass bei Ausnutzung einer Schwachstelle ein kritisches Problem in der jeweiligen Anwendung entstehen könnte. Denn eine hohe Anzahl von Fehlern und Schwachstellen in Software-Code korreliert mit einem erhöhten Sicherheitsrisiko. Es ist also nicht verwunderlich, dass Cyberangriffe auf die Software-Lieferkette im Jahr 2023 die Schlagzeilen beherrschen.
Die Marktforscher fanden heraus, dass knapp über 80 Prozent der von EMEA-Organisationen entwickelten Anwendungen bei ihrer letzten Überprüfung innerhalb von 12 Monaten mindestens eine Sicherheitslücke aufwiesen. In den USA war das bei 73 Prozent der Organisationen der Fall. Darüber hinaus war der Prozentsatz der Anwendungen, die Schwachstellen mit hohem Schweregrad enthielten, mit fast 20 Prozent in EMEA der höchste von allen Regionen weltweit.
"Unsere Daten zeigen, dass Unternehmen weltweit eine hohe Anzahl von Anwendungen mit vielen der Top 25 CWE-Schwachstellen (Common Weakness Enumeration) einsetzen", so Chris Eng, Chief Research Officer bei Veracode. "Wir haben jedoch interessante regionale Unterschiede festgestellt, insbesondere in Bezug auf die Verwendung von Drittanbieter- oder Open-Source-Code und die Art und Weise, wie Schwachstellen über den gesamten Lebenszyklus einer Anwendung hinweg eingeführt werden", so Eng weiter.
Die Analyse von Daten aus mehr als 27 Millionen Scans von 750.000 Anwendungen bilden die Basis des „State of Software Security (SoSS)-Report“ von Veracode über den Status der Software-Sicherheit. Der aktuelle Bericht zeigt die EMEA-spezifischen Ergebnisse für 2023 für Großbritannien, Deutschland, Frankreich, Italien sowie den Nahen Osten und Afrika.
Doch Zahlen allein zeigen nicht, welche Folgen die Ausnutzung von Software-Schwachstellen durch Hacker haben kann. Da Unternehmen in der gesamten EMEA-Region eine immer komplexere Mischung aus Software von Drittanbietern nutzen, kann die Ausnutzung einer schwerwiegenden Sicherheitslücke Tausende von Opfern gleichzeitig treffen. Zu Beginn dieses Jahres wurde eine Schwachstelle in den Drucksoftware-Tools PaperCut MF und PaperCut NG von Hackern aktiv ausgenutzt. Bis zu 70.000 Organisationen in 200 Ländern wurden zu potenziellen Opfern. Strafverfolgungsbehörden zufolge gelang es Bedrohungsakteuren, damit Einrichtungen im Bildungssektor zu kompromittieren.
Java und Code von Drittanbietern bergen erhebliche Sicherheitslücken
Die Studie ergab bemerkenswerte regionale Unterschiede hinsichtlich der bevorzugten Programmiersprache. Java stellte sich als die bevorzugte Sprache für Entwickler in EMEA heraus. Außerdem zeigte die Studie: Teams, die Java verwenden, beheben Schwachstellen langsamer als Entwickler, die .NET oder JavaScript verwenden. Das führt dazu, dass viele Schwachstellen fortbestehen oder wesentlich länger unentdeckt bleiben, da Java-Anwendungen zu mehr als 95 Prozent aus Drittanbieter- oder Open-Source-Code bestehen. Damit ist die Java-Nutzung ein Schlüsselfaktor für den höheren Prozentsatz von Schwachstellen in Anwendungen in der EMEA-Region. Deswegen ist die Software Composition Analysis (SCA), die Schwachstellen in Open-Source-Code aufspürt, so wichtig. Die Studie zeigt auch, dass der Anteil der durch SCA gemeldeten Schwachstellen in EMEA höher ist als in anderen Regionen.
Da generative KI in der Softwareentwicklung immer mehr an Bedeutung gewinnt, steigt das Risiko von Schwachstellen aus externen Quellen. Eine Studie, die 2022 auf der Black Hat vorgestellt wurde, zeigte Schwachstellen in 40 Prozent des Codes, der von generativer KI geschrieben wurde, die auf riesigen, nicht aufbereiteten Datenmengen, inklusive Milllionen von öffentlichen GitHub Repositories, trainiert worden war. Daher ist es von entscheidender Bedeutung, dass Unternehmen SCA-Tools einsetzen, um Schwachstellen zu finden und zu beheben. So können Entwickler von den Vorteilen von KI profitieren, ohne die Sicherheit der Anwendungen zu gefährden.
Anwendungen werden mit der Zeit immer anfälliger
Neue Schwachstellen im Code treten in EMEA über den gesamten Lebenszyklus von Anwendungen hinweg in weitaus höherem Maße auf als in anderen Regionen. Zwar halten Unternehmen in der EMEA-Region ihre Anwendungen auf dem neuesten Stand, aber es wird weniger auf die Qualität geachtet. So weißen nach einem Zeitraum von fünf Jahren 50 Prozent der Anwendungen in der EMEA-Region nach wie vor neue Fehler auf. Weltweit ist das im Vergleich nur bei rund 30 Prozent so. Insgesamt liegt die Wahrscheinlichkeit, dass in einem bestimmten Monat eine Schwachstelle auftritt, bei 27 Prozent.
Für Unternehmen in der EMEA-Region wäre es daher von Vorteil, dem letzten Teil des Anwendungslebenszyklus mehr Aufmerksamkeit zu schenken und Anwendungen regelmäßiger zu scannen. Außerdem sollten sie der Sicherheitsschulung von Entwicklern Vorrang einräumen. Denn die Studie zeigt: Die Wahrscheinlichkeit, dass eine Schwachstelle auftritt, sinkt durch die Teilnahme an 10 interaktiven Sicherheitsübungen von 27 Prozent auf etwa 25 Prozent.
"Der diesjährige SoSS-Report verdeutlicht, wie wichtig es ist, das Thema Sicherheit über den gesamten Software-Lebenszyklus hinweg im Auge zu behalten. Vor allem die Betrachtung der Risiken von Drittanbieter- und KI-generiertem Code spielt dabei eine bedeutende Rolle", so Eng weiter. "Weltweit stellen wir immer noch eine besorgniserregende Anzahl von Schwachstellen fest – und in der EMEA-Region sind sie bei fast allen Erhebungen höher. Entwicklungsteams in EMEA sollten die Softwaresicherheit mit regelmäßigen Scans automatisieren und den Einsatz von KI-Tools sorgfältig prüfen, sowohl um die Sicherheit zu erhöhen als auch die Entwickler zu entlasten".
Der Veracode State of Software Security EMEA 2023 empfiehlt Software-Entwicklungsteams vier Maßnahmen, um die Cybersicherheit zu verbessern. Er steht hier zum Download bereit.
Der globale Veracode State of Software Security Bericht 2023 steht hier zum Download bereit.
Über den State of Software Security Report
Die 13. Ausgabe des jährlichen State of Software Security Reports von Veracode untersucht historische Trends, die die Softwarelandschaft prägen und wie sich die Sicherheitspraktiken mit diesen Trends weiterentwickeln. Die diesjährigen Ergebnisse basieren auf den vollständigen historischen Daten, die von den Veracode und seinen Kunden zur Verfügung stehen, und repräsentieren einen Querschnitt großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und Open-Source-Projekte. Der Bericht enthält Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die cloudbasierte Plattform von Veracode unterzogen wurden.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert.
Weitere Informationen finden Sie unter www.veracode.com, im [url=https://www.veracode.com/blog]Veracode Blog[/url], auf [url=https://www.linkedin.com/company/veracode]LinkedIn[/url] und [url=https://twitter.com/Veracode?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor]Twitter[/url].
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 41959927-32
E-Mail: veracode@maisberger.com
Veracode
E-Mail: kgwilliam@veracode.com
Veracode startet sein Velocity-Partnerprogramm in EMEA
Angesichts der Risiken, die in Software Supply Chains auftreten und der rasanten Weiterentwicklung von generativer KI, die quasi wöchentlich für Schlagzeilen sorgt, gewinnt Softwaresicherheit für Unternehmen unabhängig der Branche zunehmend an Bedeutung. Damit einher geht die immer anspruchsvoller werdende Herausforderung, Sicherheit in den Software Development Life Cycle zu integrieren. Das Velocity-Partnerprogramm wurde dafür entwickelt, Partner dabei zu unterstützen, dieser Nachfrage im Markt nachzukommen.
Das Programm vereint die Fähigkeiten der Cloud-nativen Plattform von Veracode mit der Unterstützung von engagierten Fachleuten und Angeboten zur Nachfragegenerierung. Ziel ist es, das Wachstum der Dienstleistungen für Kunden zu fördern. Das Partnerprogramm beinhaltet neue Kampagnen zur Nachfragesteigerung, On-Demand-Inhalte für den Vertrieb und technische Unterstützung, sowie neue rollenbasierte Partnerschulungen und Zertifizierungen. Partner können dieses Angebot nutzen, um ihren jeweiligen Kunden einen höheren Mehrwert zu bieten, die Zusammenarbeit zu verbessern und die Gewinnraten zu erhöhen. Der Launch des Partnerprogramms in der EMEA-Region folgt auf die Einführung des Programms in Nordamerika, das im Jahr 2022 dort mit großem Erfolg gestartet ist. Die Region verzeichnete seither einen im Vergleich zum Vorjahr 89-prozentigen Anstieg der von Channel-Partnern initiierten Umsätzen. Kürzlich wurde zudem die Vertriebsstrategie "Land with Channel https://www.veracode.com/… angekündigt, um die nächste Phase des Wachstums von Veracode in Nordamerika voranzutreiben.
"Das Feedback seit der Einführung des Velocity-Partnerprogramms in Nordamerika im Sommer 2022 war überwältigend positiv und unsere Partner konnten bereits erhebliche Vorteile feststellen ", so Andre Cuenin, Chief Revenue Officer bei Veracode. "Wir freuen uns sehr, dieses strukturierte und kooperative Modell auf EMEA auszuweiten und unsere globale Vertriebspräsenz zu erhöhen. Unsere Partner, denen wir großes Vertrauen entgegenbringen, sind dabei der Schlüssel. Sie unterstützen uns bei der Skalierung unserer Mission, Unternehmen mithilfe von sicherer Software voranzubringen. Wir freuen uns darauf, es ihnen mit diesem Modell zu ermöglichen, ihre Sicherheitspraktiken zu erweitern.
Der neue mehrstufige Ansatz von Veracode Velocity
Das Programm stärkt die Zusammenarbeit zwischen Veracode und seinen Partnern, um gemeinsame Ziele besser und schneller zu erreichen. Das Wissen, die Fähigkeiten, die Einblicke und die Best Practices, die sie von Veracode erhalten, helfen Partnern dabei, branchenführende Lösungen und Dienstleistungen liefern zu können.Das zunächst in zwei Stufen unterteilte Programm bietet eine Struktur sowie ein formalisiertes System für die weltweite Einstufung der Partner und die Förderung ihrer Entwicklung:
• Level 1- Sprint Partner: Alle Veracode-Partner starten auf diesem Level und haben über die Partner-Community Zugang zu Tools wie Marketing-Kampagnen und On-Demand-Programmen, Schulungen und Zertifizierungen, automatischen Abonnements für alle Partner-Mitteilungen und Online-Ressourcen.
• Level 2- Momentum Partners: Auf der Grundlage ihrer bisherigen Leistung und ihres Engagements bei Veracode können ausgewählte Partner in das Momentum-Level aufsteigen. Dadurch profitieren sie von einem maßgeschneiderten, planbasierten Marketing für Programminvestitionen, die auf ROI-Ziele ausgerichtet sind. Zusätzlich haben sie vorrangig Zugang zu Weiterbildungen und Initiativen, um ihre Kennzahlen entscheidend zu verbessern.
Kooperativ arbeiten
"Wir freuen uns, unsere Sicherheitsinitiativen und die Kundenakquise durch das Velocity-Partnerprogramm von Veracode zu beschleunigen", sagt Uta Dalladas, Partner Manager bei NTT Data. "Die Vorteile des Programms wie Schulungen und Zertifizierungen, nachfragefördernde Angebote und die Möglichkeit, eng mit Fachexperten an der Spitze ihres Fachgebiets zusammenzuarbeiten, machen es uns möglich, unser Wissen zu erweitern und großartige Ergebnisse für unsere Kunden zu erzielen."
Mehr über das Veracode Velocity Partner Programm erfahren Sie unter https://www.veracode.com/… oder via Mail an partnerprogram@veracode.com.
Urheberrecht © 2023 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist ein eingetragenes Warenzeichen von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos sind Eigentum ihrer jeweiligen Inhaber. Alle anderen hier erwähnten Warenzeichen sind Eigentum ihrer jeweiligen Inhaber.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert. Weitere Informationen finden Sie unter www.veracode.com, im Veracode Blog https://www.veracode.com/blog, auf LinkedIn https://www.linkedin.com/company/veracode/ und Twitter https://twitter.com/Veracode?ref_src=twsrc%5Egoogle%7Ctwcamp%5Eserp%7Ctwgr%5Eauthor.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 419599-27
E-Mail: veracode@maisberger.com
Studie zeigt: Organisationen der öffentlichen Hand hinken in der Softwaresicherheit hinterher
- Laut Veracode’s State of Software Security Public Sector 2023 Report haben 82% der Softwareanwendungen im Public-Sektor Sicherheitslücken
- Organisationen der öffentlichen Hand schneiden in einigen Bereichen dennoch besser ab als Privatunternehmen
Veracode, https://www.veracode.com, ein weltweit führender Anbieter von intelligenter Softwaresicherheit, veröffentlichte heute seine Studie zu Softwaresicherheit im Bereich der öffentlichen Hand. Aus der Studie geht hervor, dass Applikationen für die öffentliche Hand tendenziell mehr Sicherheitslücken aufweisen als Anwendungen für den privaten Sektor. Die höhere Anzahl von Fehlern und Schwachstellen in Anwendungen korreliert mit einem erhöhten Sicherheitsrisiko. Die Studie wurde vor dem Hintergrund einer Reihe von weltweiten Regierungs-Initiativen zur Verbesserung der Cybersicherheit durchgeführt, wie beispielsweise dem EU Cyber Resilience Act, der darauf abzielt, zusätzliche Mindestsicherheitsanforderungen für Produkte mit digitalen Elementen einzuführen.
Die Forschenden fanden heraus, dass rund 82 Prozent der von Organisationen des öffentlichen Sektors entwickelten Anwendungen mindestens eine Sicherheitslücke aufwiesen. Im Vergleich dazu waren es bei Privatunternehmen 74 Prozent. Die Daten für die Studie wurden innerhalb der letzten 12 Monate erhoben. Je nach Art der festgestellten Schwachstelle war die Wahrscheinlichkeit, dass in den letzten 12 Monaten eine Sicherheitslücke in Anwendungen des öffentlichen Sektors eingebaut wurde, um 7 – 12 Prozent höher.
„Der Unterschied zwischen dem privaten und öffentlichen Sektor in der Häufigkeit, mit der Fehler in Anwendungen auftreten, ist enorm. Die Bemühungen von Behörden, diese Lücken zu schließen, sind notwendig und müssen unbedingt fortgesetzt werden. Als Verantwortliche für die öffentliche Sicherheit müssen Behörden diese Lücke schließen. Nur so können sie ihr jeweiliges Land und seine Bürger schützen", sagte Chris Eng, Chief Research Officer bei Veracode.
Die Analyse der Daten von mehr als 27 Millionen Scans in 750.000 Anwendungen bildete die Basis des neuesten Jahresberichts von Veracode über den aktuellen Status von Softwaresicherheit https://www.veracode.com/…. Darin werden die für den öffentlichen Sektor spezifischen Erkenntnisse vorgestellt.
Die Zahlen allein verdeutlichen nicht die Folgen, die auftreten, wenn Hacker Softwarefehler und -schwachstellen ausnutzen. So sorgte im August letzten Jahres ein Supply-Chain-Angriff auf die deutsche Industrie- und Handelskammer dafür, dass diese ihre IT-Systeme und digitale Dienste, Telefone und E-Mail-Server komplett herunterfahren mussten. Essenzielle Services waren zwar kurz nach dem Angriff wieder verfügbar, aber bis die vollständige Funktionsfähigkeit wieder hergestellt wurde, verging mehr als ein ganzer Monat.
Schwerwiegende Schwachstellen: Hier führt der öffentliche Sektor
Wenn es um Schwachstellen mit „hohen Schweregrad“ geht, haben öffentliche Sektoren die Oberhand. Im 12-Monats-Zeitraum der Studie war der Prozentsatz der Anwendungen mit schwerwiegenden Sicherheitslücken im öffentlichen Sektor (16,5%) geringer als bei Privatunternehmen (19%). Schwachstellen mit höherem Schweregrad besitzen ein höheres Potenzial, das gesamte System zu beeinflussen, wenn sie ausgenutzt werden.
Moderne Tests von Applikationen fördern den Einsatz von Sicherheitsscanning-Tools, wie statische Anwendungssicherheitstests (SAST) und Softwarekompositionsanalysen (SCA). Verschiedene Scantypen können unterschiedliche Arten von Schwachstellen aufdecken. SAST und SCA fanden bei Anwendungen im öffentlichen Sektor zu einem geringeren Prozentsatz Mängel als bei Applikationen von Privatunternehmen.
Die Feststellung von weniger Mängeln bei Public Sektor Software bei der Verwendung von SCA-Tools könnte ein Zeichen für die ersten Auswirkungen der Executive Order (EO 14028)
https://www.whitehouse.gov/… vom Mai 2021 sein. Sie weist US-Bundesbehörden an, ihre Bemühungen zum Schutz der Software-Lieferkette zu verstärken. Dabei wird auch die verstärkte Verwendung von Software-Bills of Material (SBOMs) gefordert, in denen die Bestandteile von Software aufgelistet sind, um so den Informationsaustausch, die Transparenz und die Sichtbarkeit zu fördern. An anderer Stelle standardisiert das Federal Risk and Authorization Management Program (FedRAMP) die Sicherheitsbewertung von Cloud-Produkten und -Diensten. Das StateRAMP-Programm ermöglicht es staatlichen und lokalen Behörden, die Einhaltung von Cybersicherheitsrichtlinien durch Cloud-Service-Anbieter zu überprüfen. Auch wenn es für sie nicht vorgeschrieben ist, haben dennoch viele europäische Unternehmen dieses Konzept bereits übernommen und fordern SBOMS von ihren Softwareanbietern.
"Da sich moderne IT-Systeme weiterentwickelt haben und immer komplexer geworden sind, ist die Taxonomie der Anwendungsfehler vielfältiger geworden", so Eng. "Daher ist die Verwendung mehrerer Scan-Typen zum Auffinden und Beheben von Schwachstellen zu einer bewährten Praxis geworden.“
Vorsicht ist besser als Nachsicht
In Bezug auf die Rate, in der Scans neue Schwachstellen in alternder Software finden, gibt es große Unterschiede zwischen dem öffentlichen und privaten Sektor. Bei Anwendungen, die bereits seit 5 Jahren im Einsatz sind, steigen die Sicherheitsmängel im privaten Sektor, bei öffentlichen Organisationen nehmen sie hingegen ab.
Dieser Trend zeigt, dass Organisationen der öffentlichen Hand auch über mehrere Jahre hinweg auf die Sicherheit ihrer Anwendungen achten und nicht nur ganz am Anfang des Lebenszyklus.
Der ‚State of Software Security Public Sector 2023 Report‘ empfiehlt vier Maßnahmen, die Behörden ergreifen können, um ihre Cybersicherheitslage zu verbessern:
- Aufholen: Backlogs von bekannten Fehlern müssen so schnell wie möglich behoben werden.
- Regelmäßiges Scannen: Unregelmäßiges Scannen erschwert die Behebung von Fehlern und führt zu mehr Backlogs.
- Automatisieren: Durch die Automatisierung von Tests über APIs werden Fehler und Mängel in Anwendungen besser vermieden.
- Hinzufügen von DAST zum Security-Stack: Verwenden Sie dynamisches Scannen, um Schwachstellen zu entdecken, die andere Scan-Typen übersehen.
"Der öffentliche Sektor hat bei der Verbesserung der Sicherheit seiner Anwendungen einen weiten Weg zurückgelegt. Trotzdem bleibt noch viel zu tun, damit Behörden ihre Cybersicherheit verbessern und neue Bedrohungen abwehren können. Indem sie ihre Sicherheitsanstrengungen auf die eigentliche Ursache der meisten Cyberverletzungen – die Anwendungsebene – konzentrieren, können sie erhebliche Verbesserungen erzielen. Regelmäßige Scans mit verschiedenen Testmethoden und die anschließende Beseitigung von Sicherheitslücken werden den Weg in eine sicherere Zukunft für den öffentlichen Sektor ebnen", so Julian Totzek-Hallhuber, Manager Solution Architects EMEA & APAC bei Veracode.
Über den State of Software Security Report
Die 13. Ausgabe des jährlichen State of Software Security Reports von Veracode untersucht die Trends der Softwarelandschaft und wie sich Sicherheitspraktiken entlang dieser Trends entwickeln. Die diesjährigen Ergebnisse basieren auf historischen Daten von Veracode und seiner Kunden. Sie repräsentieren einen Querschnitt von Anwendungen großer und kleiner Unternehmen, kommerzieller Softwareanbieter, Software-Outsourcer und von Open-Source-Projekten. Der Bericht enthält Erkenntnisse über Anwendungen, die einer statischen Analyse, einer dynamischen Analyse, einer Analyse der Softwarezusammensetzung und/oder manuellen Penetrationstests über die cloudbasierte Plattform von Veracode unterzogen wurden.
Veracode steht für intelligente Software-Sicherheit. Die Veracode Software Security-Plattform findet Mängel und Schwachstellen in jeder Phase des modernen Softwareentwicklungszyklus. Dank der leistungsstarken KI, die anhand von Billionen von Codezeilen trainiert wurde, beheben Veracode-Kunden Fehler schneller und mit hoher Genauigkeit. Sicherheitsteams, Entwickler und Geschäftsführer von Tausenden der innovativsten Unternehmen der Welt vertrauen und schätzen Veracode und seine Pionierarbeit, die die Bedeutung intelligenter Softwaresicherheit immer wieder neu definiert. Veracode wurde mit dem FedRAMP- und StateRAMP Risk and Authorization Management Program ausgezeichnet.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Maisberger GmbH
Telefon: +49 (89) 41959927-32
E-Mail: veracode@maisberger.com