Sicherheit
19.05.2020
Anwendungssicherheit

Regelmäßiges Scannen für weniger Schwachstellen

Autor:
Software ScanSoftware ScanSoftware Scan
hanss / shutterstock.com
Je häufiger eine Anwendung gescannt wird, desto schneller können Schwachstellen behoben werden. Dies wird auch vom zehnten State of Software Security Report (SoSS) von Veracode bestätigt.
Trotz dieses offensichtlichen Zusammenhangs wird in der Praxis immer noch vergleichsweise selten getestet.
Für Veracodes ersten State of Software Security Report wurden in 2009 1.591 Anwendungen untersucht. Beim aktuellen Report, zehn Jahre später, waren es bereits 85.000 Apps, was einer Steigerung um mehr als den Faktor 50 entspricht. Es gibt also immer mehr Software mit Myriaden an Code-Zeilen, die es gilt zu schützen. 69 Prozent der für den aktuellen Report untersuchten Anwendungen werden allerdings nur zwischen ein und sechs Mal im Jahr getestet. Und nur weniger als ein Prozent werden 260 Mal (also mindestens einmal pro Werktag) getestet.
»Die großen Unterschiede zeigen, dass es hier also noch viel Verbesserungsbedarf gibt. Das wird klar, wenn man die Relation zwischen Testhäufigkeit und Mean Time to Remediation (MTTR), also wie viele Tage es dauert bis eine gefundene Schwachstelle behoben wird, betrachtet. Bei 260 und mehr Scans pro Jahr beträgt die Zeit bis zur Fehlerbehebung im Schnitt 19 Tage. Bei 13 bis 52 Scans (also wöchentlich bis monatlich) sind es bereits 59 Tage. Sinkt die Testhäufigkeit weiter auf einen bis zwölf Scans pro Jahr, erhöht sich die MTTR auf 68 Tage«, so Julian Totzek-Hallhuber, Solution Architect bei Veracode.
Da sich DevSecOps immer mehr durchsetzt, gibt es einige Technologien, die die Umsetzung des Konzepts verbessern können. Tools wie Static Analysis von Veracode helfen Entwicklern mit verschiedenen Scan-Möglichkeiten, so können sie Fehler schon während dem Schreiben von Code erkennen. Das trägt auch dazu bei Sicherheitsteams zu entlasten, damit sie Probleme frühzeitig angehen können sobald die Software zur Veröffentlichung bereit ist. Ein Pipeline Scan sorgt für schnelles Feedback zu jedem Build in einer kontinuierlichen Integrationsumgebung. Dieses schnelle Feedback ist entscheidend für integrierte Ansätze wie DevSecOps.

mehr zum Thema