19.05.2020
Anwendungssicherheit
Regelmäßiges Scannen für weniger Schwachstellen
Autor: Max Bold
hanss / shutterstock.com
Je häufiger eine Anwendung gescannt wird, desto schneller können Schwachstellen behoben werden. Dies wird auch vom zehnten State of Software Security Report (SoSS) von Veracode bestätigt.
Trotz dieses offensichtlichen Zusammenhangs wird in der Praxis immer noch vergleichsweise selten getestet.
Für Veracodes ersten State of Software Security Report wurden in 2009 1.591 Anwendungen untersucht. Beim aktuellen Report, zehn Jahre später, waren es bereits 85.000 Apps, was einer Steigerung um mehr als den Faktor 50 entspricht. Es gibt also immer mehr Software mit Myriaden an Code-Zeilen, die es gilt zu schützen. 69 Prozent der für den aktuellen Report untersuchten Anwendungen werden allerdings nur zwischen ein und sechs Mal im Jahr getestet. Und nur weniger als ein Prozent werden 260 Mal (also mindestens einmal pro Werktag) getestet.
»Die großen Unterschiede zeigen, dass es hier also noch viel Verbesserungsbedarf gibt. Das wird klar, wenn man die Relation zwischen Testhäufigkeit und Mean Time to Remediation (MTTR), also wie viele Tage es dauert bis eine gefundene Schwachstelle behoben wird, betrachtet. Bei 260 und mehr Scans pro Jahr beträgt die Zeit bis zur Fehlerbehebung im Schnitt 19 Tage. Bei 13 bis 52 Scans (also wöchentlich bis monatlich) sind es bereits 59 Tage. Sinkt die Testhäufigkeit weiter auf einen bis zwölf Scans pro Jahr, erhöht sich die MTTR auf 68 Tage«, so Julian Totzek-Hallhuber, Solution Architect bei Veracode.
Da sich DevSecOps immer mehr durchsetzt, gibt es einige Technologien, die die Umsetzung des Konzepts verbessern können. Tools wie Static Analysis von Veracode helfen Entwicklern mit verschiedenen Scan-Möglichkeiten, so können sie Fehler schon während dem Schreiben von Code erkennen. Das trägt auch dazu bei Sicherheitsteams zu entlasten, damit sie Probleme frühzeitig angehen können sobald die Software zur Veröffentlichung bereit ist. Ein Pipeline Scan sorgt für schnelles Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung. Dieses schnelle Feedback ist entscheidend für integrierte Ansätze wie DevSecOps.
Swissbit
Speicherkarten mit Lizenzschutz-Vorbereitung
Die Swissbit-Speicherkarten der neuen Serie PS-66(u) unterstützen die Out-of-the-box-Nutzung der CodeMeter-Technologie für Softwareschutz und Lizenzverwaltung von Wibu-Systems.
>>
Couchbase
Datenbank-Skills für KI-Apps
Daten sind gleichzeitig Motor und Treibstoff bei der Entwicklung und dem Betrieb von KI-Anwendungen. Entsprechend zentral ist die Rolle der Datenbank. Datenbank-Anbieter Couchbase erklärt, welche Skills eine KI-taugliche Datenbank mitbringen muss.
>>
Infragistics
Angular Apps - Daten binden und anzeigen
Infragistics Professional 23.2 enthält ein leistungsstarkes Angular-Datenraster, mit dem Ihre Anwendung Datensätze jeder Größe verarbeiten kann.
>>
WWDC 24
Apple Worldwide Developers Conference ab 10. Juni 2024
Apple informiert, dass die Worldwide Developers Conference (WWDC) vom 10. bis 14. Juni 2024 online stattfindet. Für Entwickler und Studierende wird es am Eröffnungstag die Möglichkeit geben, persönlich bei einer speziellen Veranstaltung im Apple Park mit dabei zu sein.
>>