Die beschleunigte digitale Transformation der vergangenen zwei Jahre hat in vielen Unternehmen dazu geführt, dass diese schnell neue Software und (Web-) Anwendungen entwickeln mussten - alles zugunsten der Nutzererfahrung und -anforderungen auf Seiten der Mitarbeiter sowie der Kunden.
Das hat zum einen zur Folge, dass Entwickler aufgrund des damit einhergehenden Stresses zunehmend von Burnout berichten. Zum anderen steigt dadurch das Risiko von Sicherheitslücken innerhalb der Software. Laut einer aktuellen Verizon-Studie waren Web-Anwendungen in 39 Prozent der Sicherheitsvorfälle ursächlich involviert – mehr als das Doppelte als im Jahr 2019.
Julian Totzek-Hallhuber, Senior Principal Solutions Architect bei Veracode, stellt die vier Top-Trends im Bereich der Softwareentwicklung vor und erklärt, in welchem Zusammenhang sie mit der Anwendungssicherheit stehen und was künftig auf der Agenda von Entwicklerteams stehen sollte:
- Hyper-Automatisierung etabliert sich in der Softwareentwicklung
Die Geschwindigkeit, mit der Software entwickelt und auf den Markt gebracht wird, nimmt immer weiter zu. Unternehmen – und im Speziellen die Entwicklerteams – müssen sich nicht mehr nur gegenüber einer unzähligen Menge Wettbewerbern behaupten. Sie müssen zudem in kürzester Zeit innovativ sein und den Entwicklungsprozess beschleunigen, um Nutzererwartungen gerecht zu werden.
Unternehmen werden daher vermehrt so viele Prozesse wie möglich automatisieren. Pipeline-Automatisierung und DevOps zum Beispiel werden dann nicht mehr nur ein „Nice-to-have“, sondern ein „Must-have“ sein. Obwohl viele Unternehmen dank DevSecOps mittlerweile agiler entwickeln können, wird dem Thema Anwendungssicherheit eine noch größere Bedeutung zukommen.
Durch einen stärkeren „Shift-Left“-Ansatz rückt der Sicherheitsaspekt weiter in die frühen Stadien des Entwicklungszyklus vor. Gleichzeitig werden immer mehr Aufgaben in der Softwareentwicklung von KI- und ML-basierten Lösungen übernommen wie zum Beispiel das Aufspüren von Schwachstellen, die Fehlerbeseitigung und Threat Modelling.
- Anwendungen werden auf ihre Kleinstbestandteile heruntergebrochen
Softwareentwickler bauen ihre Anwendungen zunehmend auf einer Microservice-Architektur auf. Auf diese Weise können sie einzelne kleine „Anwendungsblöcke“, die nur eine einzige Funktion haben, für andere Anwendungen wiederverwerten. Der Einsatz von Application Programming Interfaces (APIs) zur Integration dieser Microservices ist daher wichtiger denn je.
Doch APIs können Schwachstellen in Form von einer lückenhaften Authentifizierung, ausnutzbaren Injections oder Fehlkonfigurationen aufweisen. Ohne die richtigen Sicherheitsmaßnahmen können Cyber-Kriminelle diese gezielt ausnutzen. Laut dem aktuellen „State of Software Security Report“ von Veracode wird der Missbrauch von APIs künftig sogar zu einem der größten Angriffsvektoren heranwachsen.
- Entwickler setzen zunehmend auf Open Source Code
Entwicklerteams greifen zunehmend auf Open-Source-Bibliotheken zurück, um ihren Entwicklungsprozess zu beschleunigen. Im Rahmen der 11. „State of Software Security“-Studie konnte Veracode feststellen, dass herkömmliche Java-Anwendungen zu 97 Prozent aus Open Source Code bestehen. Doch Sicherheitsvorfälle wie SolarWinds haben gezeigt, dass Open-Source-Bibliotheken nicht zu hundert Prozent fehlerfrei sind – ein Grund mehr, jede Anwendungskomponente einem Sicherheitsscan zu unterziehen.
Laut dem aktuellen „State of Software Security: Open-Source Edition“-Bericht verzichten Entwicklerteams häufig auf das Testen von Open Source Code. In 79 Prozent der Fälle updaten sie den Code selbst nachdem sie ihn in Anwendungen verwenden nicht. Dadurch bleiben kritische Schwachstellen im Endprodukt bestehen – rund ein Drittel der Anwendungen weisen mehr Mängel im Open Source Code auf als im selbstgeschriebenen Code-Anteil. Daher müssen Entwickler regelmäßige Scans und Updates von Open-Source-Bibliotheken priorisieren, um das Sicherheitsrisiko zu minimieren.
- Neue Policies treten in Kraft, um für höhere Cyber-Sicherheit zu sorgen
Um das Sicherheitsrisiko innerhalb der Software Supply Chain zu senken, wird sich die Politik zunehmend auf die Umsetzung von Richtlinien und die Erhöhung von Sicherheitsstandards konzentrieren. Die USA haben mit der Veröffentlichung der Executive Order bereits einen ersten großen Schritt in diese Richtung getan. Dieser Beschluss legt die Sicherheitsanforderungen für Softwareunternehmen fest, die ihre Produkte für die US-Regierung bereitstellen.
Es ist höchst wahrscheinlich, dass diese Anforderungen auf den öffentlichen Sektor übergehen, da auch Unternehmen diese Software nutzen können. Auch Großbritannien möchte mithilfe der National Cyber Strategy 2022-2030 sicherstellen, dass Softwareunternehmen Tools und Prozesse in ihre Entwicklungsprozesse etablieren, um ein höheres Cybersicherheitsniveau zu schaffen. Es ist zu erwarten, dass auch Deutschland diesen Vorbildern folgen und ähnliche Beschlüsse ins Auge fassen wird.