Die Mehrzahl aller Software-Anwendungen hat mindestens eine Sicherheitslücke und in der Regel dauert es mehrere Monate, diese zu beheben. Dies ist eines der Resultate der jährlich von Veracode durchgeführten Studie "State of Software Security". Veracode ist ein US-Anbieter von von Application-Security-Testing-Lösungen.

Für die diesjährige Ausgabe wurden laut Veracode rund 130'000 Anwendungen analysiert. Im Schnitt, so die Studienautoren, habe es etwa 6 Monate gedauert, bis die für die Applikationen zuständigen Teams die Hälfte der gefundenen Sicherheitslücken hätten beheben können.

Insgesamt wiesen laut der Studie 76% der untersuchten Anwendungen mindestens eine Sicherheitslücke auf. Nur 24% davon hätten allerdings schwerwiegende Lücken. Dies sei ein gutes Zeichen dafür, dass die meisten Anwendungen keine kritischen Probleme haben, die ernsthafte Risiken für die Anwender darstellen.

Viele Unternehmen und Softwareanbieter verwenden immer öfter Open-Source-Ressourcen als Basis für die Softwareentwicklung. Diese Praxis hat viele Vor- aber offensichtlich auch Nachteile. Laut der Veracode-Studie nimmt nämlich die Zahl der via Open-Source-Code eingeschleppten Schwachstellen zu: 70% der Anwendungen würden mindestens eine Sicherheitslücke aus ihren Open-Source-Bibliotheken übernehmen, und 30% der Anwendungen würden sogar mehr Mängel in ihren Open-Source-Bibliotheken aufweisen als in intern geschriebenem Code.

Wie eine andere Studie kürzlich gezeigt hat, könnten einige der via Open-Source-Software eingeführten Schwachstellen besonder gefährlich sein. In letzter Zeit versuchen nämlich Cyberkriminelle immer öfter, selbst Lücken in Open-Source-Projekte einzuschleusen.

Die komplette Studie kann kostenlos online bezogen werden.