Veracode: Einzelhandel kann von DevSecOps-Ansatz profitieren

Branchenvergleich: Beheben von Software-Schwachstellen

26. Januar 2021, 12:00 Uhr |
© Wolfgang Traub

Die „State of Software Security“-Studie von Veracode (SoSS), Anbieter von Application Security Testing (AST), zeigt auf, dass der Einzelhandelssektor Fehler in seiner Software schneller behebt als die fünf anderen untersuchte Branchen. Für die Analyse hat Veracode Daten von mehr als 130.000 Anwendungen ausgewertet.

Besonders im Einzelhandel, der schnell auf sich ändernde Kundenanforderungen reagieren muss, ist es unerlässlich, potenzielle Sicherheitsmängel schnell zu finden und zu beheben. Hinzu kommt, dass der Einzelhandel über Kundenkarten und Mitgliedkonten große Mengen an persönlichen Daten über Verbraucher sammelt, die strengen Datenschutzanforderungen unterliegen und ein Datenleck somit schwerwiegende Folgen haben kann.

Die Untersuchung ergab, dass 76 Prozent der Anwendungen im Einzelhandel mindestens einen Fehler aufweisen. Im Vergleich zu anderen Sektoren der Wirtschaft, wie beispielsweise dem Finanz-, Technologie- und Gesundheitswesen, entspricht dies ungefähr dem Durchschnitt. Allerdings handelt es sich bei 26 Prozent – der zweitgrößte Anteil aller sechs untersuchten Branchen – der Anwendungsfehler um schwerwiegende Probleme, die es zu beheben gilt.

Die Studie zeigt außerdem, dass der Einzelhandel bei der Behebung seiner Schwachstellen im Branchenvergleich an zweiter Stelle steht. Die Hälfte der Schwachstellen ist in 125 Tagen behoben, fast einen Monat schneller als in der zweitplatzierten Branche, dem Gesundheitssektor. Dies mag erst einmal lang wirken, aber die Hälfte der Schwachstellen in allen untersuchten Branchen bleibt entweder viel länger bestehen oder wird gar nicht behoben. Ein weiteres Studienergebnis ist, dass die Entwicklungsumgebung für den Einzelhandel eine Herausforderung darstellt, da ihre Anwendungen tendenziell älter und größer sind als in anderen Branchen.

Außerdem schneidet die Branche bei der Verbreitung häufiger Fehlertypen gut ab, während in Kategorien wie Informationslecks und Input Validation noch Luft nach oben ist. Die Untersuchung von Veracode ergab, dass Entwickler im Einzelhandel mit Problemen bei der Datenkapselung, SQL-Injection und der Verwaltung von Anmeldeinformationen zu kämpfen haben. Mit Hilfe der Heat Map von Veracode sollen Entwickler SQL-Injection-Angriffe mit sicheren Codierungspraktiken verhindern können, zum Beispiel durch die Verwendung einer parametrisierten Abfrage. Bei Fehlern in der Datenkapselung ist eine Zugriffssperrung auf die betroffene Anwendung, Datenbank oder das System ein wichtiger Schritt, bis diese vollständig geschützt sind. Außerdem ist es nach wie vor maßgeblich, Daten und Informationen zu sichern, um im Falle eines Ransomware-Angriffs das Tagesgeschäft fortführen zu können. Entwickler können das Risiko eines Angriffs auf die Verwaltung von Anmeldeinformationen außerdem verringern, indem sie verschlüsselte Passwörter an geschützten Orten speichern und die Verwendung von fest programmierten Anmeldeinformationen vermeiden, so die Empfehlung von Veracode.

Im Hinblick auf die Häufigkeit von Scans und die Kombination dynamischer und statischer Scans liegen Entwickler im Einzelhandel verglichen mit anderen Branchen im Mittelfeld. Um sichere Software zu programmieren, sollten Entwickler laut Veracode die folgenden DevSecOps-Praktiken einsetzen: häufigeres Scannen, Durchführung verschiedener Arten von Tests und Verbesserung der Kadenz von Scans.

Weitere Informationen stehen unter www.veracode.com zur Verfügung.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Vera code

Weitere Artikel zu Bedrohungsabwehr

Weitere Artikel zu Datenschutz

Weitere Artikel zu ADEC Trademark of Assmann Electronic GmbH

Weitere Artikel zu XLayer

Weitere Artikel zu Cloudflare

Weitere Artikel zu InFocus GmbH

Weitere Artikel zu BHS Binkert GmbH Distribution

Matchmaker+