Schutz der Software-Lieferkette


Studie: Höhere Sicherheitsanforderungen belasten Entwickler und gefährden Wettbewerbsfähigkeit
Der IDC InfoBrief mit dem Titel "Hidden Costs of DevSecOps" zeigt, dass Unternehmen durchschnittlich 28.000US-Dollar pro Entwickler und Jahr für die Identifizierung, Bewertung und Behebung von Software-Sicherheitsproblemen ausgeben


Jfrog veröffentlichte die Ergebnisse einer IDC-Umfrage, aus der hervorgeht, dass Entwickler deutlich mehr Zeit aufwenden und Unternehmen jährlich 28.000 US-Dollar pro Entwickler für sicherheitsrelevante Aufgaben wie die manuelle Überprüfung von Anwendungs-Scans, Kontextwechsel und die Erkennung von Secrets ausgeben. Der IDC InfoBrief "The Hidden Cost of DevSecOps: A Developer's Time Assessment", gesponsert von JFrog, zeigte, dass 50 Prozent der leitenden Entwickler, Teamleiter, Produktverantwortlichen und Entwicklungsmanager einen erheblichen Anstieg der wöchentlichen Arbeitszeit für sicherheitsrelevante Aufgaben im Zusammenhang mit Software verzeichneten, was ihre Fähigkeit, neue Geschäftsanwendungen zu entwickeln, zu erstellen und bereitzustellen, beeinträchtigte.

"Der Schutz der Software-Lieferkette stellt Unternehmen bereits vor große Herausforderungen, wird jedoch noch komplexer, wenn mehrere Tools verwendet werden, sodass Entwickler zwischen mehreren Umgebungen wechseln müssen, was zu Ineffizienz, widersprüchlichen Ergebnissen, Zeitverschwendung und einem erhöhten Risiko führt", so Asaf Karas, CTO von JFrog Security. "Die Umfrage von IDC liefert überzeugende Argumente für Unternehmen, in optimierte Sicherheitsprozesse, Tools und Schulungen zu investieren, um ihre Entwickler in die Lage zu versetzen, die Software-Lieferkette effizienter und effektiver zu schützen."

Die Hälfte der Umfrageteilnehmer gab an, schätzungsweise 19 Prozent ihrer wöchentlichen Arbeitszeit für sicherheitsbezogene Aufgaben aufzuwenden, oft außerhalb der normalen Arbeitszeiten, was zu einem reaktiven statt zu einem proaktiven Sicherheitsansatz führen könnte. Weitere wichtige Ergebnisse der IDC-Umfrage sind:

>> Jagd nach Geistern - falschpositive Ergebnisse: Entwickler verbringen durchschnittlich 3,5 Stunden damit, die Ergebnisse von Sicherheitsscans manuell zu überprüfen, da es zu Fehlalarmen und Duplikaten kommt.

>> Der Kontext ist wichtig: 69 Prozent der Entwickler stimmen zu oder stimmen voll und ganz zu, dass sie aufgrund ihrer sicherheitsbezogenen Verantwortlichkeiten häufig zwischen verschiedenen Tools wechseln müssen, was die Effizienz verlangsamt. Der Kontextwechsel bei verschiedenen Werkzeugen kann auch zur Verwendung von Token führen, um die erneute Authentifizierung pro Plattform zu umgehen. Token können bei der Anwendungsentwicklung hilfreich sein, werden aber auch schnell vergessen und hinterlassen Hintertüren in den Systemen von Unternehmen für Angriffe.

>> Secrets machen keinen Spaß: Entwickler verwenden 50 Prozent ihrer Zeit darauf, die Ergebnisse von Scans zu verstehen und zu interpretieren, Änderungen am Code vorzunehmen, um die Ergebnisse zu beheben, und Maßnahmen zur Verwaltung von Secrets zu aktualisieren.

>> Untersuchung der Infrastruktur: Infrastructure-as-Code (IaC) – wird zur Automatisierung der Bereitstellung und Verwaltung von IT-Infrastrukturen wie Servern, Netzwerken, Betriebssystemen und Speichersystemen verwendet – muss aber bei jeder Codeänderung gescannt werden. Mehr als 54 Prozent der Entwickler geben an, dass sie IaC-Scans wöchentlich oder monatlich durchführen.

>> SAST ist kein Kinderspiel: Obwohl Static Application Security Testing (SAST) in lokale Entwicklungsumgebungen integriert ist, um während der Programmierung durch die Entwickler Ergebnisse zu liefern, führen nur 23 Prozent der Entwickler SAST-Scans durch, bevor sie Code in der Produktion einsetzen, wodurch eine große Sicherheitslücke entsteht, durch die bösartiger Code eindringen kann.

"DevSecOps ist nicht nur eine geschäftliche Notwendigkeit, sondern der Grundstein für die Entwicklung sicherer Anwendungen der Zukunft. Eine große Herausforderung besteht jedoch darin, ineffiziente, schlecht implementierte Werkzeuge hinter sich zu lassen, die die Zeit der Entwickler verschwenden und die Kosten in die Höhe treiben", so Katie Norton, Research Manager, DevSecOps und Software Supply Chain Security bei IDC. "Um erfolgreich zu sein, müssen IT- und Software-Entwicklungsteamleiter wiederholende und zeitaufwändige Aufgaben automatisieren, sicherstellen, dass DevSecOps-Tools Genauigkeit mit minimalen Fehlalarmen liefern, und Entwicklern kontinuierlich Zugang zu Schulungen und Ressourcen für Anwendungssicherheit bieten, damit sie mit einer schnell wachsenden Bedrohungslandschaft Schritt halten können."

Für den IDC InfoBrief wurden leitende Entwickler, Teamleiter, Produktverantwortliche und Entwicklungsmanager von Unternehmen aus über 20 Branchen mit mehr als 1.000 Mitarbeitern in den USA, Großbritannien, Frankreich und Deutschland befragt. (JFrog: ra)

eingetragen: 29.11.24
Newsletterlauf: 20.12.24

Jfrog: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Security-Studien

  • Implementierung von KI im Fertigungssektor

    Riverbed gab die Ergebnisse für den Fertigungssektor der Riverbed Global AI & Digital Experience Survey bekannt. Die Studie ergab, dass zwar eine hohe Begeisterung für KI besteht - 92 Prozent der Befragten in der Fertigungsindustrie bestätigten, dass KI eine der obersten Prioritäten der Unternehmensleitung ist, und 92 Prozent stimmten zu, dass sie einen Wettbewerbsvorteil bietet -, aber nur 32 Prozent der Hersteller sind vollständig darauf vorbereitet, KI-Projekte jetzt umzusetzen, 5 Prozent weniger als der Branchendurchschnitt.

  • 70 Prozent der Arbeitnehmer unvorsichtig

    Zwei Drittel der Arbeitnehmerinnen und Arbeitnehmer in Deutschland haben bereits auf unbekannte Links geklickt, die potenziell Malware enthalten. Das zeigt die repräsentative Studie "Cybersicherheit in Zahlen" von der G Data CyberDefense AG, Statista und brand eins. Der Hauptgrund: Neugier. So können manipulierte Werbeanzeigen oder Fake-Shops auch für Unternehmen zur großen Bedrohung werden.

  • Datenkonsistenz, Sicherheit und Compliance

    Der Schutz sensibler Daten, die Einhaltung gesetzlicher Vorschriften und der zunehmende Einsatz unterschiedlicher Datenbankplattformen sind nur einige der Herausforderungen, mit denen sich IT-Verantwortliche konfrontiert sehen. Dies ist das Ergebnis der aktuellen Studie "The State of the Database Landscape" von Redgate, dem führenden Anbieter von DevOps-Lösungen für holistisches Datenbankmanagement.

CrowdStrike-Vorfall hat Unternehmen wachgerüttelt Verbraucher sorgen sich um Identitätsbetrug

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen