Veracode
21.12.2021, 09:09 Uhr
Softwaresicherheit wird zu SecDevOps
Eine Analyse von Veracode zeigt, dass sich die Automatisierung von Sicherheit massiv verlagert, dass modulare Anwendungen stark zunehmen und dass sich die durchschnittliche Zeit, in der Sicherheitslücken offen bleiben, sich durch automatisiertes Scannen halbiert.
Laut neuer Nutzungsdaten des Anbieters von Application Security Testing (AST) Veracode wird Cybersicherheit, genau wie moderne Softwarearchitekturen und Entwicklungsmethoden, immer stärker automatisiert und modulbasiert. Die Analyse von 5.446.170 statischen Scans und über 310.000 Applikationen über einen Zeitraum von 13 Monaten (September 2020 bis Oktober 2021) hinweg zeigt einen erstaunlichen Zuwachs um 143 Prozent bei der Anzahl kleiner Applikationen, wie APIs und Microservices, sowie einen Anstieg von 133 Prozent bei automatisierten Scans, die statt manuell über APIs durchgeführt wurden.
COVID-19 hat die digitale Transformation in den letzten 18 Monaten enorm vorangetrieben und Unternehmen konkurrieren inzwischen aggressiv darum, digitale Produkte und Dienstleistungen als erste anzubieten. Der Druck auf Entwickler, Software schneller als je zuvor zu entwickeln und bereitzustellen, hat den Wechsel zu DevSecOps – also die Integration von Entwicklung, Sicherheit und Betrieb einer Anwendung – beschleunigt. Dadurch wird Anwendungssicherheit zu einem integralen Bestandteil des Software-Lebenszyklus. Unternehmen setzen jetzt AppSec-Kontrollen ein, um die Integrität des Entwicklungsprozesses abzusichern und skalieren DevSecOps-Pipelinemuster im gesamten Unternehmen.
Chris Wysopal, Co-Founder und Chief Technology Officer bei Veracode: "Die zunehmende Automatisierung und Modularisierung der Softwareentwicklung hat zu einem starken Anstieg der Geschwindigkeit und der Automatisierung der Softwaresicherheit geführt. Unternehmen machen sich KI und maschinelles Lernen zunutze, um Fehler zu identifizieren, Bedrohungen zu modellieren und Probleme zu lösen. Wir sehen bereits, dass DevSecOps schnell an Reife gewinnt und jetzt besteht die Möglichkeit, die Sicherheit innerhalb der Designphase noch weiter nach links zu verlagern und dadurch SecDevOps zu schaffen."
Neben dem Anstieg bei der Automatisierung stellte Veracode auch einen Abwärtstrend bei der Komplexität und Größe des analysierten Codes fest. Dies zeigt sich in der um 30 Prozent geringeren durchschnittlichen Anzahl der pro Scan gescannten Module, was auf eine Verlagerung hin zum Scannen einzelner Komponenten oder Microservices hinweist. Dies ist angesichts der Schnelligkeit, mit der sich sowohl modulbasierte Anwendungen als auch DevOps-Verfahren durchgesetzt haben, nicht überraschend.
Wenn große Applikationen in kleine, wiederverwendbare Module – oder Microservices – aufgeteilt werden, können Entwickler agiler arbeiten, um schnell zu iterieren und kontinuierlich in kleinen Schritten zu liefern. Interessanterweise hat der Aufstieg der API-First-Entwicklung auch die Softwaresicherheit verbessert, da sich die durchschnittliche Zeit, die für die Behebung eines Fehlers benötigt wird, um etwa 50 Prozent halbiert, wenn statische Analysen für APIs oder Microservices zum Einsatz kommen. API-Scanning ermöglicht es Unternehmen darüber hinaus, Schwachstellen in APIs so früh und effizient wie möglich zu finden und zu beheben.
Chris Wysopal: "Die jüngsten Angriffe wie der Solar Winds-Hack haben die Verwundbarkeit der Software-Lieferkette ins Bewusstsein gerückt. Unternehmen suchen jetzt nach der nächsten Evolution der Softwaresicherheit, auf die sie sich verlassen können. Das bedeutet, dass sie die Gewissheit einer kontinuierlichen Orchestrierung bieten müssen, wie beispielsweise die Definition und Verwaltung von Richtlinien, eine Inline-Sanierung mit der Fähigkeit zur 'Selbstheilung' und Laufzeitintelligenz, die alle Schwachstellen aufzeigt, die entstehen, wenn sich die zugrundeliegenden Module ändern."