Veracode
05.10.2023, 11:04 Uhr
Studie: Schwachstellen in 80 Prozent der Anwendungen
80 Prozent der in der Region EMEA (Europa, Naher Osten, Afrika) entwickelten Anwendungen haben Sicherheitslücken. Fast 20 Prozent der Anwendungen weisen "hochgradige" Schwachstellen auf.
Veracode hat die Studie "State of Software Security (SoSS)-Report EMEA" veröffentlicht. Die Ergebnisse des Reports zeigen, dass Anwendungen, die von Organisationen in Europa, dem mittleren Osten und Afrika entwickelt werden, tendenziell mehr Sicherheitslücken enthalten als ihre Pendants aus US-amerikanischer Entwicklung. Unter allen Regionen weist die EMEA-Region auch den höchsten Prozentsatz an Schwachstellen mit hohem Schweregrad auf.
Die Marktforscher fanden heraus, dass knapp über 80 Prozent der von EMEA-Organisationen entwickelten Anwendungen bei ihrer letzten Überprüfung innerhalb von 12 Monaten mindestens eine Sicherheitslücke aufwiesen. In den USA war das bei 73 Prozent der Organisationen der Fall. Darüber hinaus war der Prozentsatz der Anwendungen, die Schwachstellen mit hohem Schweregrad enthielten, mit fast 20 Prozent in EMEA der höchste von allen Regionen weltweit.
Chris Eng, Chief Research Officer bei Veracode: "Unsere Daten zeigen, dass Unternehmen weltweit eine hohe Anzahl von Anwendungen mit vielen der Top 25 CWE-Schwachstellen (Common Weakness Enumeration) einsetzen. Wir haben jedoch interessante regionale Unterschiede festgestellt, insbesondere in Bezug auf die Verwendung von Drittanbieter- oder Open-Source-Code und die Art und Weise, wie Schwachstellen über den gesamten Lebenszyklus einer Anwendung hinweg eingeführt werden".
Die Studie ergab bemerkenswerte regionale Unterschiede hinsichtlich der bevorzugten Programmiersprache. Java stellte sich als die bevorzugte Sprache für Entwickler in EMEA heraus. Ausserdem zeigte die Studie: Teams, die Java verwenden, beheben Schwachstellen langsamer als Entwickler, die .NET oder JavaScript verwenden. Das führt dazu, dass viele Schwachstellen fortbestehen oder wesentlich länger unentdeckt bleiben, da Java-Anwendungen zu mehr als 95 Prozent aus Drittanbieter- oder Open-Source-Code bestehen. Damit ist die Java-Nutzung ein Schlüsselfaktor für den höheren Prozentsatz von Schwachstellen in Anwendungen in der EMEA-Region. Deswegen ist die Software Composition Analysis (SCA), die Schwachstellen in Open-Source-Code aufspürt, so wichtig. Die Studie zeigt auch, dass der Anteil der durch SCA gemeldeten Schwachstellen in EMEA höher ist als in anderen Regionen.
Der globale Veracode State of Software Security Bericht 2023 steht hier zum Download bereit (Anmeldung erforderlich).