BSIMM12-Studie 2021 Sicherung von Cloud- und Open-Source-Anwendungen wird immer wichtiger

Redakteur: Stefan Guggenberger

Die aktuelle Studie BSIMM12 zeigt, dass Unternehmen immer mehr Ressourcen in die Sicherung von Open-Source-, Cloud, und Container-Technologien verwenden. Welche Trends Sie im Bereich der Softwaresicherheit im Auge behalten sollten.

Firmen zum Thema

Cloud-Anwendungen werden in der IT-Welt immer präsenter und vor allem Fintech-Unternehmen bemühen sich um deren Sicherheit.
Cloud-Anwendungen werden in der IT-Welt immer präsenter und vor allem Fintech-Unternehmen bemühen sich um deren Sicherheit.
(Bild: gemeinfrei // Pexels)

Zum zwölften Mal veröffentlich Synopsys das Building Security in Maturity Model (BSIMM), welches dieses Mal die Softwaresicherheitspraktiken von 128 Unternehmen aus unterschiedlichen Branchen untersucht. Durch die zunehmende Verbreitung von Open-Source-Komponenten in moderner Software, nehmen auch Angriffe auf diese Komponenten zu. Demnach geben auch 61 Prozent der Befragten an, dass Identifizierung und Open-Source-Management in den letzten beiden Jahren gestiegen sind. Die Studie verzeichnet zudem einen signifikanten Anstieg von Sicherheitsbemühungen hinsichtlich Cloud-Plattformen und Container-Technologien - ein deutlicher Indikator für die dramatischen Auswirkungen dieser Technologien auf die Software-Sicherheitskonzepte der Unternehmen. So lässt sich bei der ‚Nutzung von Orchestrierung für Container und virtualisierte Umgebungen‘ innerhalb der letzten beiden Jahre ein Anstieg um 560 Prozent beobachten.

Über BSIMM

Das 2008 initiierte Building Security In Maturity Model (BSIMM) ist ein Tool zur Erstellung, Analyse und Bewertung von Software-Sicherheitsinitiativen. BSIMM12 ist ein datengesteuertes Modell und Messwerkzeug, das aus der sorgfältigen Untersuchung und Analyse von über 200 Software-Sicherheitsinitiativen entstanden ist und aktuelle Informationen aus der realen Welt von 130 Unternehmen enthält.

Zum aktuellen Modell

Besonders FinTech-Unternehmen sind um Open-Source-Management bemüht

Interessanterweise sind es bei der Betrachtung der einzelnen Branchen besonders IoT- und FinTech- Unternehmen, die Open Source mit ähnlich hohen Raten mit ihren Sicherheitsbemühungen schützen. Zudem weisen FinTech-Firmen eine mehr als doppelt so hohe Rate bei der Kontrolle von Open-Source-Risiken auf. Dies liegt wohl daran, dass FinTech-Unternehmen ein höheres Risiko bei der Verwendung von Open Source eingehen als IoT-Firmen, die Risiken eher im Bereich von Lizenzverletzungen bei Geräten für den Endverbraucher sehen.

Aufkommende Trends bei der Softwaresicherheit:

  • Risiken werden greifbarer: Unternehmen geben sich deutlich mehr Mühe, Daten zu ihren Software-Sicherheitsinitiativen zu sammeln und intern zu veröffentlichen. Dies zeigt sich in einem recht deutlichen Anstieg der Aktivität ‚Daten über Softwaresicherheit intern veröffentlichen‘ um 30 % in den letzten 24 Monaten.
  • Neue Möglichkeiten bei der Cloud-Sicherheit: Immer mehr Unternehmen entwickeln eigene Möglichkeiten zur Cloud-Sicherheit. In den letzten beiden Jahren gab es durchschnittlich 36 neu beobachtete Aktivitäten, die üblicherweise mit Cloud-Sicherheit in Zusammenhang stehen.
  • Rolle von Softwareexperten verändert sich: Früher haben Softwareexperten eher geeignete Verhaltensregeln vorgegeben und heute steht eine partnerschaftliche Zusammenarbeit im Fokus. Es werden Ressourcen, Personal und Wissen für DevOps-Praktiken geteilt.
  • Software-Stücklisten sorgen für mehr Verständnis: Aktivitäten bei der Erstellung von Stücklisten sind um 367 Prozent angestiegen. So soll das Verständnis für Entwicklung, Konfiguration und Bereitstellung von Software steigen.
  • ‚Shift Left‘ wird zu "Shift Everywhere‘: ‚Shift Left‘ konzentriert sich darauf, Sicherheitstests zu einem möglichst frühen Zeitpunkt im Entwicklungsprozess durchzuführen. ‚Shift Everywhere‘ hingegen erweitert die Idee, sodass Sicherheitstests über den gesamten Entwicklungszyklus hinweg kontinuierlich durchgeführt werden. Dazu gehört die automatisierte Asseterkennung, Softwarestücklisten, Container sowie das Scannen von Infrastructure-as-Code.

Wie führende Unternehmen auf Trends reagieren

Anhand der BSIMM12-Daten lässt sich ableiten, wie anführende Unternehmen auf aktuelle Herausforderungen und Trends im Bereich der Softwaresicherheit reagieren:

  • Telemetrie für Sicherheitstests verwenden: Um Daten zu sammeln, beispielsweise welche Probleme bei den durchgeführten Tests festgestellt wurden, oder Verbesserungen im Softwareentwicklungslebenszyklus oder bei den Governance-Prozessen voranzutreiben.
  • Automatisierte Sicherheitsentscheidungen: Governance-as-Code verlagert Sicherheitspraktiken und die Einhaltung von Compliance weg von einem manuellen Ansatz hin zu einem konsistenten, effizienten und wiederholbaren automatisierten Ansatz.
  • Umfassendes Softwareinventar: Diese Liste sollte sowohl intern erstellten Code als auch Open-Source- und Drittanbieter-Code mit einbeziehen.
  • Aktivitäten fokussiert und schrittweise durchführen: Sicherheitsaktivitäten sollten nicht zu umfangreich und langwierig sein, damit der Fortschritt in der Pipeline nicht verzögert wird.
  • Automatisierte Sicherheitstools: Um Schwachstellen in unternehmenskritischer Software zu identifizieren bieten sich automatisierte Tools an. Dabei ist es egal, ob es sich um interne oder externe Anwendungen handelt.

(ID:47686750)