19.12.2022
Veracpde
Jede vierte Anwendung hat schwerwiegende Sicherheitslücken
Autor: Bernhard Lauer
veracode.com
Laut dem zwölften State of Software Security (SoSS) Report von Veracode weisen ein Viertel aller Anwendungen im Technologiebereich Sicherheitslücken auf, die als "schwerwiegend" eingestuft werden.
Für die aktuelle Ausgabe des jährlich erscheinenden SoSS-Reports hat Veracode 20 Millionen Scans von einer halben Million Anwendungen in den Branchen Fertigung, Gesundheitswesen, Finanzdienstleister, Technologie, Einzelhandel und Behörden analysiert. Im direkten Branchenvergleich weist die Technologiebranche mit 79 Prozent den zweithöchsten Anteil an Anwendungen mit Sicherheitslücken auf und ist damit geringfügig besser als der öffentliche Sektor mit 82 Prozent.
Erfreulich ist, dass Tech-Unternehmen vergleichsweise schnell bei der Behebung von Schwachstellen sind, sobald diese in ihren Anwendungen entdeckt werden. Tatsächlich rühmt sich die Branche mit führenden Fehlerbehebungszeiten, die durch statische Analyse-Sicherheitstests (SAST) und Software Composition Analysis (SCA) entdeckt wurden. Obwohl dies eine lobenswerte Leistung ist, benötigt die Branche trotzdem bis zu 363 Tage, um 50 Prozent der Schwachstellen zu beheben. Hier gibt es noch reichlich Raum für Verbesserungen.
Da der Anteil der Anwendungen mit Sicherheitslücken höher ist als in anderen Branchen, würden Technologieunternehmen davon profitieren, ihren Developer-Teams verbesserte Trainings- und Schulungsangebote für sicheres Kodieren anzubieten, sagt Veracode. Chris Eng, Chief Research Officer bei Veracode: "Indem wir Entwicklern eine echte hands-on Erfahrung davon vermitteln, wie eine Schwachstelle im Code erkannt und ausgenutzt werden kann – und wie sie sich auf die Anwendung auswirken kann -, schaffen wir den Kontext und das Verständnis, um ihr Gespür für Software-Sicherheit zu entwickeln."
Serverkonfiguration, unsichere Abhängigkeiten und Informationslecks sind die häufigsten Schwachstellen, die bei der dynamischen Analyse von Technologieanwendungen entdeckt werden, was im Großen und Ganzen einem ähnlichen Muster wie in anderen Branchen folgt. Umgekehrt weist der Sektor die größte Abweichung vom Branchendurchschnitt bei kryptografischen Problemen und Informationslecks auf, was vielleicht darauf hindeutet, dass die Entwickler in der Technologiebranche mit den Herausforderungen des Datenschutzes besser vertraut sind.
Der Veracode State of Software Security v12 Technology Snapshot kann hier heruntergeladen werden. Der vollständige Bericht ist hier verfügbar (Anmeldung erforderlich). Weitere Informationen finden Sie unter www.veracode.com
Pilot-Features
Google Maps-Funktionen für nachhaltigeres Reisen
Google schafft zusätzliche Möglichkeiten, um umweltfreundlichere Fortbewegungsmittel zu fördern. Künftig werden auf Google Maps verstärkt ÖV- und Fußwege vorgeschlagen, wenn diese zeitlich vergleichbar mit einer Autofahrt sind.
>>
Codeerzeugung per KI
Code ist sich viel ähnlicher als erwartet
Eine Studie zeigt, dass einzelne Codezeilen zu 98,3 Prozent redundant sind, was darauf hindeutet, dass Programmiersprachen eine einfache Grammatik haben. Die Machbarkeit von KI-erzeugtem Code war also zu erwarten.
>>
JavaScript Framework
Hono werkelt im Hintergrund
Das JavaScript-Framework Hono ist klein und schnell. Ein weiterer Vorteil ist, dass Hono auf vielen Laufzeitumgebungen zum Einsatz kommen kann.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>