„Die meisten Unternehmen haben nur eine bruchstückhafte Sicht auf die Softwarefehler und -risiken in ihren Anwendungen“, stellt Wysopal fest. „Die ausufernden Toolsets erzeugen eine ‚Alarmmüdigkeit‘. Gleichzeitig entstehen Datensilos, die interpretiert werden müssen, um Entscheidungen zu treffen“, fügt er hinzu. Um den Sicherheitsrückstand zu beheben, rät der Security-Spezialist dazu, die Behebung von Fehlern auf der Grundlage des Risikos zu priorisieren.
Risiken in der Lieferkette
Speziell zu Open-Source-Sicherheitslücken hat der App-Security-Anbieter Black Duck 965 kommerziellen Codebasen aus 16 Branchen analysiert. Demnach enthielten 86 Prozent der kommerziellen Codebasen Open-Source-Software-Schwachstellen. 81 Prozent der Lücken wiesen ein hohes oder kritisches Risiko auf.
Dabei wurden acht der zehn größten Schwachstellen mit hohem Risiko in jQuery, einer weit verbreiteten JavaScript-Bibliothek, entdeckt. Die am häufigsten gefundene Schwachstelle mit hohem Risiko war CVE-2020-11023, eine XSS-Schwachstelle, die veraltete Versionen von jQuery betrifft. Die Lücke ist immer noch in einem Drittel der gescannten Codebasen vorhanden.
