Absicherung der globalen Software-Lieferkette
Studie: Der Finanzsektor weist im Branchenvergleich weniger Sicherheitslücken auf
Finanzbranche muss ihren Fokus noch stärker auf die Prävalenz von Schwachstellen der sowie deren Behebungsraten legen
Die Ergebnisse der "State of Software Security" (SoSS)-Studie von Veracode zeigen, dass die Finanzbranche bei vergleichbar geringer Anzahl von Schwachstellen im Bereich der Anwendungssicherheit dennoch beim Thema Behebungsrate hinterherhinkt – 30 Prozent der Open-Source-Fehler sind nach zwei Jahren noch immer nicht behoben.
Die SoSS-Studie von Veracode zeigt auf, dass der Finanzsektor im Branchenvergleich bei der Anzahl der Schwachstellen mit am besten abschneidet, aber dennoch eine der niedrigsten Behebungsquoten für Software-Sicherheitslücken aufweist. Auch bei schwerwiegenden Schwachstellen, die ein ernsthaftes Risiko für die Anwendung darstellen, liegt der Sektor im Mittelfeld: 18 Prozent der Anwendungen enthalten solch eine weitreichende Sicherheitslücke. Dies verdeutlicht, dass Finanzunternehmen sowohl der Identifizierung als auch der Behebung dieser Schwachstellen deutlich mehr Priorität einräumen sollten.
Zu diesen Ergebnissen kommt die jährliche "State of Software Security" (SoSS) - Studie des Unternehmens, in der 20 Millionen Scans von einer halben Million Anwendungen in den Bereichen Finanzen, Technologie, Fertigung, Einzelhandel, Gesundheitswesen und dem öffentlichen Sektor analysiert wurden. Von den sechs untersuchten Branchen weist der Finanzsektor mit 73 Prozent den zweitniedrigsten Anteil an Anwendungen mit Sicherheitslücken auf. In der SoSS-Studie aus dem letzten Jahr wies die Branche noch die geringste Anzahl an Software-Sicherheitslücken aller Sektoren auf, wurde aber in der diesjährigen Studie von der Fertigungsindustrie überholt. Obwohl der Finanzdienstleistungssektor insgesamt weniger Schwachstellen aufweist, liegt er bei der Behebung dieser Schwachstellen zusammen mit dem Technologiewesen und dem öffentlichen Sektor an letzter Stelle.
"Einer der Vorteile unserer langjährigen Zusammenarbeit mit Softwareentwicklern ist, dass Veracode die Veränderungen in den Entwicklungspraktiken der verschiedenen Branchen im Laufe der Zeit beobachten kann. Wir haben festgestellt, dass Anwendungen im Finanzsektor zwar weniger Sicherheitslücken aufweisen als im letzten Jahr, die Branche aber bei der Behebungsrate hinter anderen Branchen zurückbleibt. Unsere Untersuchung hat gezeigt, dass Sicherheitstrainings die Behebungsgeschwindigkeit deutlich erhöhen können. Unternehmen, deren Entwicklungsteams ein praktisches Training mit realen Anwendungen absolviert haben, beheben Schwachstellen 35 Prozent schneller als Unternehmen ohne ein solches Training", sagt Chris Eng, Chief Research Officer bei Veracode.
Die Studie zeigt, dass die Finanzbranche ihren Fokus noch stärker auf die Prävalenz von Schwachstellen der sowie deren Behebungsraten legen muss. Sobald Finanzdienstleister die Behebung priorisieren, machen sie schnellere Fortschritte als die meisten anderen untersuchten Sektoren.
Eng sagt: "Die Vorschriften für Sicherheitskontrollen, wie z. B. die Datenschutz-Grundverordnung, haben die Bedeutung der Sicherung der Software-Lieferkette hervorgehoben. Der Umstand, dass es sich um einen stark regulierten Sektor handelt, könnte eine Erklärung dafür sein, dass die Finanzbranche relativ schnell auf anfällige Third party-Bibliotheken reagiert, die durch Software Composition Analysis (SCA) entdeckt wurden."
Schwachstellen in Third party-Bibliotheken, die durch SCA entdeckt wurden, bleiben in allen Branchen tendenziell länger offen. 30 Prozent dieser Schwachstellen sind nach zwei Jahren noch nicht behoben. Wenn es um die Behebung von Open-Source-Schwachstellen geht, beseitigt der Finanzsektor seine Schwachstellen im ersten Jahr mit der gleichen Geschwindigkeit wie die anderen untersuchten Branchen. Danach verbessert sich die Behebungsgeschwindigkeit gegenüber dem branchenübergreifenden Durchschnitt um rund einem Monat.
Obwohl der Finanzsektor die meisten anderen Branchen bei den Behebungszeiten für Schwachstellen, die durch dynamische, SCA- und statische Analysen entdeckt wurden, übertrifft, ergab die Studie, dass noch deutliches Verbesserungspotenzial besteht, wenn man die Anzahl der Tage betrachtet, die für die Behebung von 50 Prozent der Schwachstellen benötigt werden: 116 Tage für die durch DAST, 385 Tage für die durch SCA und 288 Tage für die durch SAST entdeckte Schwachstellen sind immer noch zu lange Zeiträume.
Open-Source-Komponenten machen im Durchschnitt bis zu 90 Prozent* der Codebasis einer Anwendung aus. Es wird daher empfohlen Applikationen und Code-Änderungen so früh und so häufig wie möglich unter Verwendung von verschiedenen Testmethoden zu scannen, um ungeplante Arbeit bei der Behebung von kritischen Schwachstellen vorzubeugen. Das hilft auch dabei das Risiko der Einführung von neuen kritischen Open-source-Sicherheitslücken zu minimieren. (Veracode: ra)
eingetragen: 14.10.22
Newsletterlauf: 08.12.22
Veracode: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.