Fehler werden falsch behoben, da die Ausbildung zur sicheren Kodierung nachlässt

Cyber Security News

Entwickler werden oft nicht richtig in sicherem Coding geschult, was zu falschen Korrekturen von Fehlern führt. Hier beobachtet eine Gruppe von Entwicklern eine Präsentation. (Michael Kappel/CC BY-NC 2.0)

Schwachstellen in der Zugriffskontrolle und in den Berechtigungen auf Objektebene haben sich als die am schwierigsten zu behebenden Schwachstellen erwiesen, während Schwachstellen in der Befehlsinjektion und SQL-Injektion am häufigsten fehlerhaft sind.

Die von HackEDU veröffentlichte Studie, die auf dem Feedback von vor allem Sicherheits-, Entwicklungs- und Compliance-Führungskräften basierte, führte die Fehler auf einen Mangel an formalen Schulungen zurück, wobei etwa 53 Prozent der Entwickler nicht in sicheren Kodierungspraktiken geschult waren.

“Die Daten stammen aus den Bewertungen, Lektionen, den Herausforderungen und den tatsächlich gemeldeten Schwachstellen von HackEDU-Kunden und -Studenten”, sagte Brandon Hoe, Marketingleiter von HackEDU, gegenüber SC Media.

In dem Bericht wird darauf hingewiesen, dass Schwachstellen durch Befehlsinjektion verhindert werden können, indem man sich einfach an den Grundsatz hält, niemals OS-Befehle aus dem Code der Anwendungsschicht heraus aufzurufen; allerdings versuchen Entwickler oft, sie mit unzureichenden Filtern zu beheben.”

SQL-Injektionen erweisen sich oft als schwierig, weil viele Entwickler “versuchen, sie mit regulären Ausdrücken zu beheben, während eine sicherere Methode, sich der Schwachstelle zu nähern, die Verwendung von vorbereiteten Anweisungen ist.” HackEDU schlug vor, dass die Ausbildung von Entwicklern in sicherer Codierung “einen großen Beitrag dazu leisten würde, dass diese Schwachstellen reduziert oder sogar beseitigt werden.”

Entwickler haben mit schwieriger zu behebenden Schwachstellen zu kämpfen, weil sie komplexer sind und sie die Grundlagen verstehen müssen, anstatt nur die Syntax oder ein Framework auswendig zu lernen und es als Patch anzuwenden. Da es kein Patentrezept gibt, ist die Behebung dieser Schwachstellen komplizierter, so HackEDU.

Drittanbieter von Software, die Patches nur langsam veröffentlichen, können das Terrain für Entwickler weiter verkomplizieren. Und viele Unternehmen springen nicht schnell genug auf, um Software zu patchen, wenn Upgrades verfügbar sind – oder weigern sich, überhaupt zu aktualisieren, indem sie bei Altsystemen den “funktionalen Status einer kompletten Systemüberholung” vorziehen.

Die Fehler, die es auf HackEDUs Liste der am häufigsten behobenen Fehler geschafft haben, belegten in den letzten 14 Jahren die ersten beiden Plätze auf der OWASP-Liste.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com