JFrog Software Supply Chain State of the Union 2024 Risiken und Chancen für Software-Lieferketten in Deutschland

Anbieter zum Thema

Rittal GmbH & Co. KG

Schneider Electric GmbH

Rosenberger-OSI GmbH & Co. OHG

Ein neuer Bericht von JFrog beleuchtet basierend auf einer Analyse von Nutzungsdaten, einer Untersuchung von Schwachstellen (CVEs) und einer globalen Fachumfrage, die gegenwärtigen Risiken und Potenziale der Software Supply Chain (SSC) für Unternehmen in Deutschland und weltweit.

Die Befunde aus dem „Software Supply Chain: State of the Union 2024“-Report zeichnen ein komplexes Bild der aktuellen Situation im Bereich der Software-Sicherheit und -Entwicklung, sowohl in Deutschland als auch global. Die Herausforderungen und Folgen dieser Situation sind vielschichtig und betreffen Unternehmen und Softwareentwickler gleichermaßen. Die Beteiligung von 1.224 Experten aus Schlüsselregionen wie den USA, Deutschland, Großbritannien, Frankreich, China, Indien und Israel verleiht der Studie ein umfassendes Bild der Herausforderungen und Chancen, die die Sicherheit der Software-Lieferkette heute prägen.

Komplexität der Anwendungssicherheit: In Deutschland verwenden 71 Prozent der IT-Experten zwischen vier und neun verschiedene Lösungen für die Anwendungssicherheit, während global die Zahlen ähnlich sind. Diese Fragmentierung der Sicherheitslösungen erhöht die Komplexität und potenziell auch die Kosten für die Unternehmen. IT-Teams müssen verschiedene Systeme verstehen, integrieren und verwalten, was zu Effizienzverlusten führen kann. Die Vielfalt der Lösungen kann zwar eine umfassende Sicherheitsdecke bieten, doch erhöht sie auch den Bedarf an spezialisiertem Wissen und erschwert es, ein einheitliches Sicherheitsniveau aufrechtzuerhalten.

Verzögerungen durch Sicherheitsprüfungen: Die Tatsache, dass 62 Prozent der IT-Experten in Deutschland weniger als eine Woche warten müssen, um ein neues Paket oder eine Library nutzen zu können, deutet auf eine relativ schnelle Adaptionsrate hin. Dies ist essenziell, um im schnelllebigen Softwareumfeld wettbewerbsfähig zu bleiben. Jedoch birgt die schnelle Integration neuer Komponenten ohne ausreichende Sicherheitsprüfungen das Risiko, Schwachstellen und böswillige Pakete in die Software-Lieferkette einzuführen.

Risiken durch böswillige Open-Source-Pakete: Besonders besorgniserregend ist, dass jedes zehnte Unternehmen in Deutschland angibt, keine Lösung zur Erkennung bösartiger Open-Source-Pakete zu verwenden. Dies stellt eine erhebliche Sicherheitslücke dar, da Open-Source-Komponenten weit verbreitet sind und oft als vertrauenswürdig angesehen werden. Die zunehmende Abhängigkeit von solchen Paketen, insbesondere in einem Umfeld, in dem KI und ML zunehmend zur Anwendung kommen, erfordert eine robuste Überwachung und Prüfung, um Sicherheitsrisiken zu minimieren.

Wachsender Einsatz von IoT-Geräten: Mit über 90 Prozent der Unternehmen in Deutschland, die Software für IoT- und IoT-Edge-Geräte bereitstellen, und fast der Hälfte, die plant, ihre Anzahl an IoT-Geräten zu erweitern, steigt auch das Risiko von Sicherheitsverletzungen. IoT-Geräte sind oft weniger sicher als andere Systeme und können Einfallstore für Cyberangriffe darstellen. Die zunehmende Vernetzung und die damit einhergehende Erweiterung der Angriffsfläche erfordern von Unternehmen eine sorgfältige Bewertung und Implementierung von Sicherheitsmaßnahmen.

Nutzung von KI/ML für Sicherheitsscans: Interessant zu beobachten ist, dass schon jetzt 90 Prozent der IT-Fachleute weltweit und eine ähnlich hohe Zahl in Deutschland angeben, dass ihre Organisation KI/ML einsetzt, um Sicherheitsscans, Abhilfemaßnahmen oder eine Kombination daraus zu unterstützen. Die Nutzung dieser Technologien kann helfen, die Effizienz der Sicherheitsprüfungen zu steigern, Schwachstellen schneller zu identifizieren und zu beheben und somit die Sicherheit der Softwareprodukte zu verbessern.

Schwachstellenbewertung vs. Ausnutzbarkeit in der Praxis: Der Bericht zeigt, dass 74 Prozent der Schwachstellen mit hoher oder kritischer CVSS-Bewertung in gängigen Anwendungsfällen nicht ausnutzbar waren. Diese Diskrepanz zwischen der Bewertung und der tatsächlichen Ausnutzbarkeit der Schwachstellen ist ein großes Problem. Sie führt dazu, dass Sicherheits- und Entwicklungsteams ihre Ressourcen auf die Behebung von Schwachstellen konzentrieren, die möglicherweise kein echtes Risiko darstellen. Diese Fehlallokation von Aufmerksamkeit und Ressourcen kann dazu führen, dass weniger Zeit für die Behebung tatsächlich kritischer Schwachstellen zur Verfügung steht, was die Sicherheitslage möglicherweise verschlechtert.

Zeitaufwand für die Behebung von Schwachstellen: Trotz der Herausforderung durch irreführende CVSS-Scores zeigen Daten, dass 60 Prozent der Sicherheits- und Entwicklungsteams immer noch ein Viertel ihrer Zeit mit der Behebung von Schwachstellen verbringen. Dies unterstreicht die erhebliche Belastung, die die Softwaresicherheit für die Teams darstellt, was die Entwicklung neuer Funktionen verzögern und die Innovationsfähigkeit der Unternehmen einschränken kann.

Software-Lieferkettensicherheit: Zwischen Innovation und Risiko

Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. Während die Nutzung von KI/ML neue Möglichkeiten eröffnet, bleiben die Balance zwischen Sicherheit und Produktivität und der Schutz vor einem immer größer werdenden Pool an Schwachstellen zentrale Herausforderungen. Die Ergebnisse aus Deutschland zeigen, dass hier zwar in vielen Bereichen ähnliche Trends wie global zu erkennen sind, aber auch spezifische Herausforderungen und Ansätze existieren. Der Bericht legt nahe, dass ein proaktiver und umfassender Ansatz zur Sicherung der Software-Lieferkette essenziell ist, um im globalen Wettbewerb bestehen zu können und das Vertrauen der Nutzer zu wahren.

Über den Autor: mit Shachar Menashe ist Sr. Director of Security Research bei JFrog.

(ID:50032063)