Schutz der Software-Lieferkette


Studie: Höhere Sicherheitsanforderungen belasten Entwickler und gefährden Wettbewerbsfähigkeit
Der IDC InfoBrief mit dem Titel "Hidden Costs of DevSecOps" zeigt, dass Unternehmen durchschnittlich 28.000US-Dollar pro Entwickler und Jahr für die Identifizierung, Bewertung und Behebung von Software-Sicherheitsproblemen ausgeben


Jfrog veröffentlichte die Ergebnisse einer IDC-Umfrage, aus der hervorgeht, dass Entwickler deutlich mehr Zeit aufwenden und Unternehmen jährlich 28.000 US-Dollar pro Entwickler für sicherheitsrelevante Aufgaben wie die manuelle Überprüfung von Anwendungs-Scans, Kontextwechsel und die Erkennung von Secrets ausgeben. Der IDC InfoBrief "The Hidden Cost of DevSecOps: A Developer's Time Assessment", gesponsert von JFrog, zeigte, dass 50 Prozent der leitenden Entwickler, Teamleiter, Produktverantwortlichen und Entwicklungsmanager einen erheblichen Anstieg der wöchentlichen Arbeitszeit für sicherheitsrelevante Aufgaben im Zusammenhang mit Software verzeichneten, was ihre Fähigkeit, neue Geschäftsanwendungen zu entwickeln, zu erstellen und bereitzustellen, beeinträchtigte.

"Der Schutz der Software-Lieferkette stellt Unternehmen bereits vor große Herausforderungen, wird jedoch noch komplexer, wenn mehrere Tools verwendet werden, sodass Entwickler zwischen mehreren Umgebungen wechseln müssen, was zu Ineffizienz, widersprüchlichen Ergebnissen, Zeitverschwendung und einem erhöhten Risiko führt", so Asaf Karas, CTO von JFrog Security. "Die Umfrage von IDC liefert überzeugende Argumente für Unternehmen, in optimierte Sicherheitsprozesse, Tools und Schulungen zu investieren, um ihre Entwickler in die Lage zu versetzen, die Software-Lieferkette effizienter und effektiver zu schützen."

Die Hälfte der Umfrageteilnehmer gab an, schätzungsweise 19 Prozent ihrer wöchentlichen Arbeitszeit für sicherheitsbezogene Aufgaben aufzuwenden, oft außerhalb der normalen Arbeitszeiten, was zu einem reaktiven statt zu einem proaktiven Sicherheitsansatz führen könnte. Weitere wichtige Ergebnisse der IDC-Umfrage sind:

>> Jagd nach Geistern - falschpositive Ergebnisse: Entwickler verbringen durchschnittlich 3,5 Stunden damit, die Ergebnisse von Sicherheitsscans manuell zu überprüfen, da es zu Fehlalarmen und Duplikaten kommt.

>> Der Kontext ist wichtig: 69 Prozent der Entwickler stimmen zu oder stimmen voll und ganz zu, dass sie aufgrund ihrer sicherheitsbezogenen Verantwortlichkeiten häufig zwischen verschiedenen Tools wechseln müssen, was die Effizienz verlangsamt. Der Kontextwechsel bei verschiedenen Werkzeugen kann auch zur Verwendung von Token führen, um die erneute Authentifizierung pro Plattform zu umgehen. Token können bei der Anwendungsentwicklung hilfreich sein, werden aber auch schnell vergessen und hinterlassen Hintertüren in den Systemen von Unternehmen für Angriffe.

>> Secrets machen keinen Spaß: Entwickler verwenden 50 Prozent ihrer Zeit darauf, die Ergebnisse von Scans zu verstehen und zu interpretieren, Änderungen am Code vorzunehmen, um die Ergebnisse zu beheben, und Maßnahmen zur Verwaltung von Secrets zu aktualisieren.

>> Untersuchung der Infrastruktur: Infrastructure-as-Code (IaC) – wird zur Automatisierung der Bereitstellung und Verwaltung von IT-Infrastrukturen wie Servern, Netzwerken, Betriebssystemen und Speichersystemen verwendet – muss aber bei jeder Codeänderung gescannt werden. Mehr als 54 Prozent der Entwickler geben an, dass sie IaC-Scans wöchentlich oder monatlich durchführen.

>> SAST ist kein Kinderspiel: Obwohl Static Application Security Testing (SAST) in lokale Entwicklungsumgebungen integriert ist, um während der Programmierung durch die Entwickler Ergebnisse zu liefern, führen nur 23 Prozent der Entwickler SAST-Scans durch, bevor sie Code in der Produktion einsetzen, wodurch eine große Sicherheitslücke entsteht, durch die bösartiger Code eindringen kann.

"DevSecOps ist nicht nur eine geschäftliche Notwendigkeit, sondern der Grundstein für die Entwicklung sicherer Anwendungen der Zukunft. Eine große Herausforderung besteht jedoch darin, ineffiziente, schlecht implementierte Werkzeuge hinter sich zu lassen, die die Zeit der Entwickler verschwenden und die Kosten in die Höhe treiben", so Katie Norton, Research Manager, DevSecOps und Software Supply Chain Security bei IDC. "Um erfolgreich zu sein, müssen IT- und Software-Entwicklungsteamleiter wiederholende und zeitaufwändige Aufgaben automatisieren, sicherstellen, dass DevSecOps-Tools Genauigkeit mit minimalen Fehlalarmen liefern, und Entwicklern kontinuierlich Zugang zu Schulungen und Ressourcen für Anwendungssicherheit bieten, damit sie mit einer schnell wachsenden Bedrohungslandschaft Schritt halten können."

Für den IDC InfoBrief wurden leitende Entwickler, Teamleiter, Produktverantwortliche und Entwicklungsmanager von Unternehmen aus über 20 Branchen mit mehr als 1.000 Mitarbeitern in den USA, Großbritannien, Frankreich und Deutschland befragt. (JFrog: ra)

eingetragen: 29.11.24
Newsletterlauf: 20.12.24

Jfrog: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Studien

  • Einsparungen durch stärkere Identitätssicherung

    Entrust, Anbieterin von identitätszentrierten Sicherheitslösungen, und Docusign haben die Ergebnisse einer gemeinsamen Marktuntersuchung veröffentlicht. Die internationale Studie untersucht die steigenden Kosten von Identitätsbetrug und die Herausforderungen für Unternehmen.

  • Große Defizite bei Mitarbeitern

    Unternehmen in Deutschland kämpfen weiterhin mit erheblichen Wissenslücken ihrer Belegschaft beim wichtigen und vielfältigen Thema IT-Sicherheit. Besonders in den Bereichen der zukunftsträchtigen Nutzung von Künstlicher Intelligenz, Phishing und Datendiebstahl attestieren Arbeitnehmende ihren Kolleginnen und Kollegen große Defizite. Das ist ein Ergebnis der repräsentativen Studie "Cybersicherheit in Zahlen" von G Data CyberDefense, Statista und brandeins. Selbst Mitarbeiter aus den Abteilungen IT und IT-Security verfügen aus Sicht der Befragten über nicht ausreichende Fachkenntnisse. Hierdurch ergibt sich ein akuter Handlungsbedarf für IT-Verantwortliche in Unternehmen.

  • Infrastrukturen im Healthcare-Bereich

    Absolute Security veröffentlicht die aktuelle Studie "Resilience Obstacles in the Healthcare Industry". Die Studie untersuchte die Telemetriedaten von über einer Million im Gesundheitswesen eingesetzten PCs. Dabei fanden die Analysten des Unternehmens heraus, dass den Endgeräten viel zu oft stabile Sicherheitsstrukturen fehlen, was Cyberkriminellen buchstäblich Tür und Tor zu den Infrastrukturen im Healthcare-Bereich öffnet. Warum ist das so?

CrowdStrike-Vorfall hat Unternehmen wachgerüttelt Verbraucher sorgen sich um Identitätsbetrug

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen