IDC-Studie von JFrog: Höhere Sicherheitsanforderungen belasten Entwickler und gefährden Wettbewerbsfähigkeit
Oktober 2024 von JFrog
Der IDC InfoBrief mit dem Titel „Hidden Costs of DevSecOps“ zeigt, dass Unternehmen durchschnittlich 28.000US-Dollar pro Entwickler und Jahr für die Identifizierung, Bewertung und Behebung von Software-Sicherheitsproblemen ausgeben
JFrog, das Liquid-Software Unternehmen und Entwickler der JFrog Software Supply Chain Platform, veröffentlicht die Ergebnisse einer IDC-Umfrage, aus der hervorgeht, dass Entwickler deutlich mehr Zeit aufwenden und Unternehmen jährlich 28.000 US-Dollar pro Entwickler für sicherheitsrelevante Aufgaben wie die manuelle Überprüfung von Anwendungs-Scans, Kontextwechsel und die Erkennung von Secrets ausgeben. Der IDC InfoBrief „The Hidden Cost of DevSecOps: A Developer’s Time Assessment“, gesponsert von JFrog, zeigte, dass 50 Prozent der leitenden Entwickler, Teamleiter, Produktverantwortlichen und Entwicklungsmanager einen erheblichen Anstieg der wöchentlichen Arbeitszeit für sicherheitsrelevante Aufgaben im Zusammenhang mit Software verzeichneten, was ihre Fähigkeit, neue Geschäftsanwendungen zu entwickeln, zu erstellen und bereitzustellen, beeinträchtigte.
„Der Schutz der Software-Lieferkette stellt Unternehmen bereits vor große Herausforderungen, wird jedoch noch komplexer, wenn mehrere Tools verwendet werden, sodass Entwickler zwischen mehreren Umgebungen wechseln müssen, was zu Ineffizienz, widersprüchlichen Ergebnissen, Zeitverschwendung und einem erhöhten Risiko führt“, so Asaf Karas, CTO von JFrog Security. „Die Umfrage von IDC liefert überzeugende Argumente für Unternehmen, in optimierte Sicherheitsprozesse, Tools und Schulungen zu investieren, um ihre Entwickler in die Lage zu versetzen, die Software-Lieferkette effizienter und effektiver zu schützen.“
Die Hälfte der Umfrageteilnehmer gab an, schätzungsweise 19 Prozent ihrer wöchentlichen Arbeitszeit für sicherheitsbezogene Aufgaben aufzuwenden, oft außerhalb der normalen Arbeitszeiten, was zu einem reaktiven statt zu einem proaktiven Sicherheitsansatz führen könnte. Weitere wichtige Ergebnisse der IDC-Umfrage sind:
•Jagd nach Geistern - falschpositive Ergebnisse: Entwickler verbringen durchschnittlich 3,5 Stunden damit, die Ergebnisse von Sicherheitsscans manuell zu überprüfen, da es zu Fehlalarmen und Duplikaten kommt.
•Der Kontext ist wichtig: 69 Prozent der Entwickler stimmen zu oder stimmen voll und ganz zu, dass sie aufgrund ihrer sicherheitsbezogenen Verantwortlichkeiten häufig zwischen verschiedenen Tools wechseln müssen, was die Effizienz verlangsamt. Der Kontextwechsel bei verschiedenen Werkzeugen kann auch zur Verwendung von Token führen, um die erneute Authentifizierung pro Plattform zu umgehen. Token können bei der Anwendungsentwicklung hilfreich sein, werden aber auch schnell vergessen und hinterlassen Hintertüren in den Systemen von Unternehmen für Angriffe.
•Secrets machen keinen Spaß: Entwickler verwenden 50 Prozent ihrer Zeit darauf, die Ergebnisse von Scans zu verstehen und zu interpretieren, Änderungen am Code vorzunehmen, um die Ergebnisse zu beheben, und Maßnahmen zur Verwaltung von Secrets zu aktualisieren.
•Untersuchung der Infrastruktur: Infrastructure-as-Code (IaC) – wird zur Automatisierung der Bereitstellung und Verwaltung von IT-Infrastrukturen wie Servern, Netzwerken, Betriebssystemen und Speichersystemen verwendet – muss aber bei jeder Codeänderung gescannt werden. Mehr als 54 Prozent der Entwickler geben an, dass sie IaC-Scans wöchentlich oder monatlich durchführen.
•SAST ist kein Kinderspiel: Obwohl Static Application Security Testing (SAST) in lokale Entwicklungsumgebungen integriert ist, um während der Programmierung durch die Entwickler Ergebnisse zu liefern, führen nur 23 Prozent der Entwickler SAST-Scans durch, bevor sie Code in der Produktion einsetzen, wodurch eine große Sicherheitslücke entsteht, durch die bösartiger Code eindringen kann.
„DevSecOps ist nicht nur eine geschäftliche Notwendigkeit, sondern der Grundstein für die Entwicklung sicherer Anwendungen der Zukunft. Eine große Herausforderung besteht jedoch darin, ineffiziente, schlecht implementierte Werkzeuge hinter sich zu lassen, die die Zeit der Entwickler verschwenden und die Kosten in die Höhe treiben“, so Katie Norton, Research Manager, DevSecOps und Software Supply Chain Security bei IDC. „Um erfolgreich zu sein, müssen IT- und Software-Entwicklungsteamleiter wiederholende und zeitaufwändige Aufgaben automatisieren, sicherstellen, dass DevSecOps-Tools Genauigkeit mit minimalen Fehlalarmen liefern, und Entwicklern kontinuierlich Zugang zu Schulungen und Ressourcen für Anwendungssicherheit bieten, damit sie mit einer schnell wachsenden Bedrohungslandschaft Schritt halten können.“
Für den IDC InfoBrief wurden leitende Entwickler, Teamleiter, Produktverantwortliche und Entwicklungsmanager von Unternehmen aus über 20 Branchen mit mehr als 1.000 Mitarbeitern in den USA, Großbritannien, Frankreich und Deutschland befragt. Weitere Erkenntnisse aus dem IDC InfoBrief finden Sie hier: „The Hidden Cost of DevSecOps: A Developer’s Time Assessment“.