Start Empfohlen Die Offenlegung von Schwachstellen verbessert die Sicherheit für alle

Die Offenlegung von Schwachstellen verbessert die Sicherheit für alle

2
0


  1. Code

Laut einer neuen Studie glauben 90 Prozent der IT-Experten, dass die Offenlegung von Schwachstellen einem breiteren Zweck dient, um die Entwicklung, Verwendung und Behebung von Software zu verbessern.

Die Umfrage vom Spezialisten für Anwendungssicherheitstests Veracode stellt fest, dass mehr als ein Drittel der Unternehmen in den letzten 12 Monaten einen unaufgeforderten Bericht über die Offenlegung von Sicherheitslücken erhalten haben, der eine Gelegenheit darstellt, mit der meldenden Partei zusammenzuarbeiten, um die Sicherheitslücke zu beheben und sie dann offenzulegen, um die allgemeine Sicherheit zu verbessern.

Die Studie zeigt auch, dass Sicherheitsforscher im Allgemeinen vernünftig sind und eher von dem Wunsch motiviert sind, die Sicherheit zum Wohle der Allgemeinheit zu verbessern, als von finanziellem Gewinn. 57 Prozent der Forscher erwarten, dass sie benachrichtigt werden, wenn eine Schwachstelle behoben ist, 47 Prozent erwarten regelmäßige Updates zur Korrektur und 37 Prozent erwarten, dass die Korrektur validiert wird. Nur 18 Prozent der Befragten erwarten, bezahlt zu werden und nur 16 Prozent erwarten Anerkennung für ihre Ergebnisse.

Drei von vier Unternehmen geben an, über eine etablierte Methode zu verfügen, um einen Bericht von einem Sicherheitsforscher zu erhalten, und 71 Prozent der Entwickler sind der Meinung, dass Sicherheitsforscher in der Lage sein sollten, unaufgefordert Tests durchzuführen. Dies mag nicht intuitiv erscheinen, da Entwickler am stärksten betroffen wären, wenn ihr Workflow unterbrochen würde, um eine Notfalllösung vorzunehmen, aber die Daten zeigen, dass Entwickler eine koordinierte Offenlegung als Teil ihres sicheren Entwicklungsprozesses betrachten. Sie erwarten, dass ihre Arbeit außerhalb der Organisation getestet wird und sind bereit, auf identifizierte Probleme zu reagieren.

„Die Ausrichtung, die die Studie zeigt, ist sehr positiv“, sagt Chris Wysopal, Chief Technology Officer und Mitbegründer von Veracode. „Die Herausforderung besteht jedoch darin, dass die Richtlinien zur Offenlegung von Sicherheitslücken völlig inkonsistent sind. Wenn Forscher nicht sicher sind, wie sie vorgehen sollen, wenn sie eine Sicherheitslücke finden, sind Unternehmen Sicherheitsbedrohungen ausgesetzt, die Kriminellen die Möglichkeit geben, diese Sicherheitslücken auszunutzen. Heute haben wir sowohl Tools als auch Prozesse zum Auffinden und Reduzieren von Fehlern in Software während des Entwicklungsprozesses. Aber selbst mit diesen Tools werden jeden Tag neue Schwachstellen entdeckt. Eine strenge Offenlegungsrichtlinie ist ein notwendiger Bestandteil der Sicherheitsstrategie einer Organisation und ermöglicht es Forschern, mit einer Organisation zusammenzuarbeiten, um ihre Eine gute Richtlinie zur Offenlegung von Sicherheitslücken umfasst Verfahren zur Zusammenarbeit mit externen Sicherheitsforschern, zur Festlegung von Erwartungen in Bezug auf Zeitpläne und Ergebnisse, um Fehler zu testen und Software zu reparieren, bevor sie ausgeliefert wird.“

Doch während Unternehmen sich dafür einsetzen, Fehler zu finden und zu beheben, zeigen die Umfrageergebnisse, dass Sicherheitsforscher manchmal unrealistische Erwartungen haben können. 65 Prozent der Sicherheitsforscher erwarten eine Fehlerbehebung in weniger als 60 Tagen.

Die Studie zeigt, dass zwar 47 Prozent der Unternehmen Bug-Bounty-Programme implementiert haben, aber nur 19 Prozent der Schwachstellenberichte tatsächlich über diese Programme eingehen.

Weitere Informationen zu den Ergebnissen finden Sie auf der Veracode-Blog.

Bildnachweis: McIek/Shutterstock



Vorheriger ArtikelMehr als ein Viertel der Windows 10-Systeme haben NOCH NICHT das Creators Update
Nächster ArtikelFacebook droht, die Fotos der Benutzer zu löschen, wenn sie die Moments-App nicht installieren

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein