Code: Beim Schreiben kommt die Sicherheit oft zu kurz (Foto: Naluhly auf Unsplash)

86 Prozent aller Software-Entwickler betrachten die Anwendungssicherheit beim Schreiben der Codes nicht als oberste Priorität, obwohl es reichlich Lippenbekenntnisse für eine sicherheitsorientierte Entwicklung in dem Bereich gibt. Das zeigt die jährliche "The State of Developer-Driven Security"-Umfrage des Software-Entwicklers Secure Code Warrior. An der Umfrage haben 1.200 Entwickler aus Nordamerika, Asien und Europa teilgenommen.

Nach den Gründen für die Vernachlässigung der Anwendersicherheit befragt, nennten 24 Prozent die Notwendigkeit, Fristen einzuhalten, während 20 Prozent angeben, dass sie nicht genügend in der Fähigkeit geschult sind, um sichere Codes zu schreiben. Nur 29 Prozent sind der Meinung, dass die Praxis, Code frei von Schwachstellen zu schreiben, priorisiert werden sollte.

Der Wert von Schulungen im Zusammenhang mit sicherer Codierung zeigt sich in der Feststellung, dass 81 Prozent der Entwickler angeben, das aus dem Training gewonnene Wissen fast täglich zu nutzen. Dennoch versenden 67 Prozent immer noch wissentlich Software mit Schwachstellen im Code.

33 Prozent der Entwickler wissen nicht einmal, was ihren Code anfällig macht, 30 Prozent glauben, dass interne Sicherheitsschulungen effektiver würden, wenn sie praxisnäher wären und reale Szenarien und Ergebnisse einbeziehen könnten. Die grösste Sorge von 30 Prozent der Befragten sind Schwachstellen, die von Kollegen in eine Software hineingeschrieben werden.

"Entwickler wollen eigentlich das Richtige tun. Doch wenn sie sich verstärkt um die Sicherheit bemühen, ecken sie schnell an", so Secure-Code-Warrior-CEO Pieter Danhieux. Oft führten die ihnen zur Verfügung stehenden Tools dazu, dass sie sich durchwursteln, anstatt das Risiko aktiv zu reduzieren. "Um mehr Code-Qualität zu erreichen, müssen Unternehmen entsprechende Standards formulieren, die für jeden Software-Entwickler gelten", fordert Danhieux, der für seine Entwickler in Anspruch nimmt, dass sie der Sicherheit der Codes größte Aufmerksamkeit schenken.