74 Prozent der Bewertungen von Schwachstellen mit hohen oder kritischen CVSS-Scores sind irreführend – trotzdem verbringen 60 Prozent der Sicherheits- und Entwicklungsteams immer noch ein Viertel ihrer Zeit mit der Behebung von Schwachstellen.
JFrog ), das Unternehmen für Liquid Software und Entwickler der JFrog Software-Lieferkettenplattform, hat die Ergebnisse seines „Software Supply Chain State of the Union 2024“ Reports veröffentlicht, der aufkommende Entwicklungstrends, Risiken und Best Practices für die Absicherung der Software-Lieferkette von Unternehmen identifiziert.
„DevSecOps-Teams auf der ganzen Welt navigieren durch ein volatiles Feld der Software-Sicherheit, wo Innovation häufig auf Nachfrage trifft, in einer Ära der schnellen KI-Adoption“, sagt Yoav Landman, CTO und Mitgründer von JFrog. „Unsere Daten bieten Sicherheits- und Entwicklungsorganisationen eine umfassende Momentaufnahme des sich schnell entwickelnden Software-Ökosystems, einschließlich beachtlicher CVE-Scoringfehler, Perspektiven zu den Sicherheitsimplikationen der Verwendung von Gen-AI für Coding, die riskantesten Pakete, die Organisationen für die Entwicklung zulassen sollten, und mehr, sodass sie fundiertere Entscheidungen treffen können.“
Wichtige Erkenntnisse:
JFrog’s Software Supply Chain State of the Union kombiniert die Nutzungsdaten von JFrog Artifactory durch Entwickler in mehr als 7.000 Organisationen, originäre CVE-Analyse des JFrog Security Research-Teams und Daten aus einer beauftragten Umfrage unter 1.200 Technologie-Experten weltweit, um einen umfassenden Überblick über die sich dynamisch entwickelnde Welt der Software-Lieferkette zu vermitteln.
Zu den wichtigsten Erkenntnissen gehören:
- Nicht alle CVEs sind kritisch: Traditionelle CVSS-Bewertungen betrachten ausschließlich die Schwere des Exploits im Gegensatz zur Wahrscheinlichkeit, dass er ausgenutzt wird, was Kontext benötigt, um eine effektive Bewertung zu machen. Das JFrog Security Research-Team hat die Schwere von durchschnittlich 85 Prozent der Kritischen CVEs und 73 Prozent der Hohen CVEs nach der Analyse von 212 verschiedenen hochkarätigen CVEs, die 2023 entdeckt wurden, herabgestuft. Zusätzlich fand JFrog heraus, dass 74 Prozent der gemeldeten gängigen CVEs mit hohen und kritischen CVSS-Werten in den Top 100 Docker Hub-Community-Bildern nicht exploitierbar waren.
- Denial-of-Service (DoS)-Angriffe dominieren: Von den 212 hochkarätigen CVEs, die vom Security Research-Team analysiert wurden, hatten 44 Prozent das Potenzial für einen DoS-Angriff und 17 Prozent das Potenzial, eine Remote Code Execution (RCE) durchzuführen. Das ist eine gute Nachricht für Sicherheitsorganisationen, da RCE weit schädlichere Auswirkungen hat als DoS-Angriffe, da sie vollen Zugang zu Backend-Systemen bieten.
- Sicherheit beeinträchtigt die Produktivität: Vierzig Prozent der Befragten sagten, dass es typischerweise eine Woche oder länger dauert, eine Genehmigung für die Verwendung eines neuen Pakets/einer neuen Bibliothek zu erhalten, was die Markteinführungszeit für neue Apps und Software-Updates verlängert. Zusätzlich verbringen Sicherheitsteams ungefähr 25 Prozent ihrer Zeit mit der Behebung von Schwachstellen, selbst wenn diese Schwachstellen überbewertet oder in ihrer Anwendung gar nicht ausnutzbar sind.
- Anwendung von Sicherheitsprüfungen im Softwareentwicklungslebenszyklus (SDLC) ist inkonsistent: Die Meinungen in der Branche sind zweigeteilt, wenn es darum geht, zu entscheiden, wo Sicherheitstests für Anwendungen im SDLC durchgeführt werden sollen, was die Bedeutung von gleichzeitiger umsetzung von Shift-Left und Shift-Right-Ansätzen untermauert. Zweiundvierzig Prozent der Entwickler behaupten, es sei am besten, Sicherheitsscans während des Schreibens von Code durchzuführen, während 41 Prozent sagen, es sei am besten, Scans auf neuen Softwarepaketen durchzuführen, bevor sie aus einem Open-Source-Software (OSS)-Repository in Ihre Organisation gebracht werden.
- Die Verbreitung von Sicherheitstools schreitet voran: Fast die Hälfte der IT-Experten (47 Prozent) sagt, dass sie zwischen vier und neun Application Security Lösungen verwenden. Allerdings sagen ein Drittel der Umfrageteilnehmer und Sicherheitsprofis (33 Prozent), dass sie 10 oder mehr Application Security Anwendungssicherheits Lösungen verwenden. Dies unterstützt einen markt-weiten Trend hin zu Bedarf an Konsolidierung von Sicherheitstools und eine Bewegung weg von Punkt-Lösungen.
- Unproportionaler Einsatz von KI/ML-Technologien: Während 90 Prozent der Umfrageteilnehmer angeben, dass ihre Organisation derzeit KI/ML-gestützte Werkzeuge in irgendeiner Kapazität verwendet, um bei der Sicherheitsüberprüfung und -behebung zu helfen, behauptet nur einer von drei Befragten (32 Prozent), dass ihre Organisation KI/ML-gestützte Werkzeuge zum Schreiben von Code verwendet, was darauf hindeutet, dass die Mehrheit immer noch vorsichtig ist bezüglich der potenziellen Schwachstellen, die durch Gen-AI entwickelten Code in Unternehmenssoftware eingeführt werden können.
„Die Anzahl der Schwachstellen wächst von Jahr zu Jahr, aber das bedeutet nicht notwendigerweise, dass sie in ihrer Schwere zunehmen. Es ist eindeutig, dass IT-Teams bereit sind, in neue Werkzeuge zu investieren, um ihre Sicherheit zu stärken, aber zu wissen, wo diese Werkzeuge einzusetzen sind, wie man die Zeit der Teams nutzt und Prozesse optimiert, ist entscheidend, um den SDLC sicher zu halten“, sagt Shachar Menashe, Senior Director, JFrog Security Research. „Wir haben diesen Bericht entworfen, um über die Trendanalyse hinauszugehen und sowohl Rat als auch Klarheit über die Technologien zu geben, die Geschäftsleiter für Entscheidungen nutzen, sei es beim Navigieren von KI, bösartigem Code oder Sicherheitslösungen.“
Weitere Informationen:
Den vollständigen Software Supply Chain Report können Sie hier herunterladen. Sie können auch gemeinsam mit JFrog Security und Entwickler-Experten am Webinar „Safeguarding Software Supply Chains in 2024″ am Mittwoch, den 17. April 2024 um 19:00 Uhr CET, teilnehmen.
jfrog.com/