Eine Analyse von Veracode zeigt, dass sich die Automatisierung von Sicherheit massiv verlagert, dass modulare Anwendungen stark zunehmen und dass sich die durchschnittliche Zeit, in der Sicherheitslücken offen bleiben, sich durch automatisiertes Scannen halbiert.
Laut neuer Nutzungsdaten von Veracode, dem weltweit größten Anbieter von Application Security Testing (AST), wird Cybersicherheit, genau wie moderne Softwarearchitekturen und Entwicklungsmethoden, immer stärker automatisiert und modulbasiert. Die Analyse von 5.446.170 statischen Scans und über 310.000 Applikationen über einen Zeitraum von 13 Monaten (September 2020 bis Oktober 2021) hinweg zeigt einen erstaunlichen Zuwachs um 143 Prozent bei der Anzahl kleiner Applikationen, wie APIs und Microservices, sowie einen Anstieg von 133 Prozent bei automatisierten Scans, die statt manuell über APIs durchgeführt wurden.
Quelle: Veracode Plattform
Quelle: Veracode Plattform
COVID-19 hat die digitale Transformation in den letzten 18 Monaten enorm vorangetrieben und Unternehmen konkurrieren inzwischen aggressiv darum, digitale Produkte und Dienstleistungen als erste anzubieten. Der Druck auf Entwickler, Software schneller als je zuvor zu entwickeln und bereitzustellen, hat den Wechsel zu DevSecOps – also die Integration von Entwicklung, Sicherheit und Betrieb einer Anwendung – beschleunigt. Dadurch wird Anwendungssicherheit zu einem integralen Bestandteil des Software-Lebenszyklus. Unternehmen setzen jetzt AppSec-Kontrollen ein, um die Integrität des Entwicklungsprozesses abzusichern und skalieren DevSecOps-Pipelinemuster im gesamten Unternehmen.
„Die zunehmende Automatisierung und Modularisierung der Softwareentwicklung hat zu einem starken Anstieg der Geschwindigkeit und der Automatisierung der Softwaresicherheit geführt. Unternehmen machen sich KI und maschinelles Lernen zunutze, um Fehler zu identifizieren, Bedrohungen zu modellieren und Probleme zu lösen“, erklärt Chris Wysopal, Co-Founder und Chief Technology Officer bei Veracode. „Wir sehen bereits, dass DevSecOps schnell an Reife gewinnt und jetzt besteht die Möglichkeit, die Sicherheit innerhalb der Designphase noch weiter nach links zu verlagern und dadurch SecDevOps zu schaffen.“
Modularisierung steigert Geschwindigkeit und Effizienz
Neben dem Anstieg bei der Automatisierung stellte Veracode auch einen Abwärtstrend bei der Komplexität und Größe des analysierten Codes fest. Dies zeigt sich in der um 30 Prozent geringeren durchschnittlichen Anzahl der pro Scan gescannten Module, was auf eine Verlagerung hin zum Scannen einzelner Komponenten oder Microservices hinweist. Dies ist angesichts der Schnelligkeit, mit der sich sowohl modulbasierte Anwendungen als auch DevOps-Verfahren durchgesetzt haben, nicht überraschend.
Quelle: Veracode Plattform
Wenn große Applikationen in kleine, wiederverwendbare Module – oder Microservices – aufgeteilt werden, können Entwickler agiler arbeiten, um schnell zu iterieren und kontinuierlich in kleinen Schritten zu liefern. Interessanterweise hat der Aufstieg der API-First-Entwicklung auch die Softwaresicherheit verbessert, da sich die durchschnittliche Zeit, die für die Behebung eines Fehlers benötigt wird, um etwa 50 Prozent halbiert, wenn statische Analysen für APIs oder Microservices zum Einsatz kommen. API-Scanning ermöglicht es Unternehmen darüber hinaus, Schwachstellen in APIs so früh und effizient wie möglich zu finden und zu beheben.
Quelle: Veracode Plattform
Softwaresicherheit muss umfassend, aber nicht eindringlich sein
Angesichts steigender Kosten und Komplexität bei modernen Softwareentwicklungsverfahren benötigen Unternehmen zunehmend eine umfassende, vollständig integrierte Sicherheitsplattform mit weniger unterschiedlichen Tools. Diese Plattform unterstützt eine umfassende Sicherheit, weil sie:
- in der Designphase mit der Modellierung von Bedrohungen beginnt und sicherstellt, dass nur sichere Komponenten in das Design aufgenommen werden. Dadurch wird die Sicherheit noch weiter nach links verlagert, so dass DevSecOps nun zu SecDevOps wird und die Software „secure by design“ ist.
- vollständig integriert, aber auch offen für neue Technologie-Plugins ist, bei gleichzeitig umfassender Abdeckung, die jede mögliche Dimension des Codes analysiert. Dieser Ansatz ermöglicht es Sicherheitsexperten und Entwicklern, Risiken zu verstehen, Prioritäten für Gegenmaßnahmen zu setzen und Fortschrittsziele über mehrere Dimensionen hinweg zu definieren und zu überwachen.
- eine reibungslose Erfahrung für Entwickler bietet, die es ermöglicht, Sicherheitsanalysen dort durchzuführen, wo die Entwickler arbeiten – innerhalb der IDE (Integrated Development Environment), der CI/CD (Continous Integration/Continous Development)-Pipelines, der Code- und Container-Repositorys und der Defect-Tracking-Systeme.
„Die jüngsten Angriffe wie der Solar Winds-Hack haben die Verwundbarkeit der Software-Lieferkette ins Bewusstsein gerückt“, ergänzt Wysopal. „Unternehmen suchen jetzt nach der nächsten Evolution der Softwaresicherheit, auf die sie sich verlassen können. Das bedeutet, dass sie die Gewissheit einer kontinuierlichen Orchestrierung bieten müssen, wie beispielsweise die Definition und Verwaltung von Richtlinien, eine Inline-Sanierung mit der Fähigkeit zur ‚Selbstheilung‘ und Laufzeitintelligenz, die alle Schwachstellen aufzeigt, die entstehen, wenn sich die zugrundeliegenden Module ändern.“
In Anbetracht der Geschwindigkeit, mit der sich Software-Schwachstellen entwickeln können, wie erst kürzlich die Zero-Day-Schwachstelle in Log4j 2.x gezeigt hat, die letzte Woche entdeckt wurde und immer noch ausgenutzt wird, darf die Bedeutung einer kontinuierlichen und noch weiter nach links gerückten Sicherheit nicht unterschätzt werden.
www.veracode.com