Die Zukunft der Softwaresicherheit – und was man dabei im Blick behalten sollteBuilding Security in Maturity Model Report gibt den Überblick
15. Dezember 2022Erkenntnisse austauschen, gegenseitig aus Fehlern und Erfolgen lernen, darüber diskutieren, wie sich die Bedrohungslandschaft entwickelt und wie man am besten darauf reagiert, all das bereitet uns besser auf die Zukunft und die damit verbundenen Herausforderungen vor. In diesem Sinne veröffentlichen mehr als 130 Unternehmen jährlich den Status ihrer Software-Sicherheitsprogramme im Rahmen des Building Security in Maturity Model (BSIMM) Report. Dieser Bericht bietet Firmen die Möglichkeit, ihre Strategien mit denen anderer zu vergleichen.
Im 13. Jahr seines Bestehens spielt der BSIMM-Report eine Schlüsselrolle dabei, die Sicherheit von über 145.000 Anwendungen zu verbessern, die von 410.000 Entwicklern erstellt und gepflegt werden. Der BSIMM13-Report hebt die relevanten Aktivitäten hervor, die von den meisten Unternehmen bereits heute umgesetzt werden.
Sie stellen einen guten Ausgangspunkt für andere dar, wenn es um die Einführung eines eigenen Softwaresicherheitsprogramms geht. Dazu zählen Kontrollen wie die statische Analyse in der IDE, die statische Analyse während der Build-Phase, die manuelle Codeüberprüfung und die damit verbundene Governance.
Dazu kommt, die Grundlagen der Host- und Netzwerksicherheit zu beherzigen, Datenschutzverpflichtungen einzuhalten, einen Incident Response Plan zu erstellen und externe Penetrationstester zu bemühen, um Probleme frühzeitig(er) zu erkennen. Der Vergleich der Ergebnisse mit denen der Vorjahre hat allerdings ergeben, dass es auch Bereiche gibt, auf die wir uns stärker konzentrieren sollten, z. B. Sicherheitskontrollen in der Cloud und mehr Transparenz bei Open-Source-Code. Neben diesen Beobachtungen gibt es auch in diesem Jahr einige große Trends, die man weiterhin im Auge behalten sollte:
Herausforderungen beim Lieferkettenmanagement
Es überrascht kaum, dass viele Unternehmen inzwischen Initiativen Priorität einräumen, die Risiken innerhalb der Lieferketten senken. Die Entdeckung der Dependency Confusion durch Sicherheitsforscher Alex Birsan im Jahr 2021 hat unmittelbar demonstriert, welch weitreichende Auswirkungen eine Sicherheitslücke hier haben kann. Birsan hackte erfolgreich eine Reihe bekannter Firmen, darunter nicht ganz unbekannte Namen wie Apple, Microsoft und PayPal. Die Vorstellung, dass solche Informationen in die falschen Hände geraten, sollte ausreichen, jedes Sicherheitsteam wachzurütteln.
Zudem ist Open-Source-Software in aktuellen Technologien allgegenwärtig. Hier braucht es größere Anstrengungen, um die damit verbundenen Risiken zu identifizieren und zu managen. Tools zur Software Composition Analysis (SCA) stehen denn auch im Mittelpunkt von Initiativen zur Identifizierung und Kontrolle von Open-Source-Risiken. Im Vergleich zum Vorjahr haben sie um fast 35 Prozent zugelegt. Darüber hinaus hat die Verlagerung hin zur Entwicklung von Cloud-nativen Anwendungen die Frage aufgeworfen, wie solche Anwendungen gespeichert, bereitgestellt und über Application Programming Interfaces (APIs) miteinander verbunden werden können. Angesichts dieser besonderen Herausforderung setzen einige Unternehmen auf automatisierte Tests. Diese prüfen APIs kontinuierlich, bevor sie die Erlaubnis zum Empfang sensibler Daten erteilen.
Auch die Zahl der Unternehmen, die eine Software Bills of Materials (SBOMs) erstellen, ist um 30 Prozent gestiegen. Ziel einer Stückliste ist es, mehr Transparenz hinsichtlich der genutzten Software von Drittanbietern zu schaffen und so besser auf identifizierte Schwachstellen zu reagieren.
Im Allgemeinen entwickeln die meisten Unternehmen bei der Zusammenarbeit mit Dritten eine generell strengere Haltung. Aktivitäten wie die „Kommunikation von Standards an Anbieter“ und die „Sicherstellung kompatibler Anbieterrichtlinien“ sind sogar um 46 Prozent beziehungsweise 56 Prozent gestiegen. Im Laufe der Zeit haben immer mehr Firmen SLA-Bedingungen in Verträge mit Anbietern aufgenommen, um so zu gewährleisten, dass
Standards eingehalten werden. Derzeit sind es 15 Prozent mehr als im Vorjahr, die so vorgehen. Interessanterweise scheint jedoch die Schulung von Anbietern und ausgelagerten Mitarbeitern in Sachen Sicherheit auf der Prioritätenliste deutlich nach unten gerutscht zu sein, und zwar um 30 Prozent. Es sieht so aus, als sei mit der Aufnahme von SLA-Bedingungen in die Verträge auch die Verantwortung für die Schulung von den Unternehmen auf die Anbieter übergegangen.
„Shift Everywhere“ und darüber hinaus
Ein weiterer Trend des diesjährigen Berichts: Die Ausweitung von „Shift Left“, die vor über 15 Jahren begonnen hat, ist jetzt als „Shift Everywhere“ in vollem Gange. Neben Sicherheitstests zu Beginn des Entwicklungsprozesses werden Sicherheitsmaßnahmen jetzt in allen Phasen des Software-Lebenszyklus integriert und automatisiert.
Nicht weniger als 82 Prozent der BSIMM-Mitgliedsunternehmen setzen inzwischen automatisierte Tools zur Codeüberprüfung ein. Damit zählt diese Praxis zu den zehn am häufigsten beobachteten Aktivitäten. Dieser Ansatz umfasst die Nutzung kleinerer, schnellerer und oft Pipeline-gesteuerter Tests. Ihre Zahl ist bei der Implementierung von Sicherheitstests in die QA-Automatisierung um fast 50 Prozent gestiegen.
Das Thema Softwaresicherheit findet mittlerweile über Anwendungen und Produkte hinaus auch im Betrieb mehr Beachtung. Sicherheits- und Betriebsteams arbeiten verstärkt zusammen. Aktivitäten zur „Behebung aller Softwarefehler im Betrieb“ haben um 175 Prozent dazu gewonnen, während die Bemühungen zur „Verbesserung der SSDL zur Vermeidung von Softwarefehlern“ insgesamt um mehr als 70 Prozent gestiegen sind. Gleichzeitig arbeiten Softwaresicherheitsteam enger denn je mit Infrastukturteams zusammen. Etwa, um Knowledge-as-Code-Bibliotheken oder maschinenverfügbares Sicherheitswissen zu erstellen.
Es gibt kein Patentrezept für Softwaresicherheit. Aber wenn wir die Trends im Auge behalten und gleichzeitig wissen, was bei anderen gut funktioniert und was nicht, gewinnen wir Erkenntnisse, die zu einer soliden Sicherheitsstrategie führen.
Boris Cipot ist Senior Security Engineer bei Synopsys SIG.