Warum Ihr Unternehmen Tausende von Stunden mit Software-Schwachstellen verschwendet
TL;DR Softwareunternehmen, die Container bauen und betreiben, verbringen jedes Jahr Tausende von Stunden, wenn nicht sogar mehr, mit Schwachstellenmanagement. Warum? Laut etwa zehn Interviews mit Softwareexperten liegt das daran, dass Softwareunternehmen oft mit Tausenden von bekannten Software-Schwachstellen (Common Vulnerabilities and Exposures, auch bekannt als CVEs) überhäuft werden, ein Ergebnis, das zum Teil darauf zurückzuführen ist, dass einige Softwareteams Bilder unabhängig von der Anzahl der bekannten Schwachstellen auswählen.
Wenn Sie ein Softwareunternehmen sind, das Container erstellt und bereitstellt, ist es möglich, laut unserer Forschung sogar wahrscheinlich, dass es Tausende von einzigartigen bekannten Schwachstellen (unique known vulnerabilities, CVEs) in Ihren Softwareprodukten gibt. Das ist nicht nur ein Sicherheitsrisiko. Es ist auch möglich, dass die Belastung durch bekannte Schwachstellen die tägliche Routine der Software-Profis in Ihrem Unternehmen von einer Freude am Versand neuer Funktionen und dem Beobachten, wie Kunden davon profitieren, zu einem Problem macht, das die Identifizierung, Triage und Behebung ("Management") bekannter Software-Schwachstellen beinhaltet. Dieser Slog wird zu einem schwarzen Loch für die Produktivität, da die Teammitglieder gezwungen sind, Schwachstellen in Software-Sprachen, Apps und anderen Bereichen aufzuspüren, für deren Behebung Spezialwissen erforderlich ist.
Um das Ausmaß und die Ursprünge dieses Problems besser zu verstehen, befragte Chainguard Labs etwa zehn Softwareexperten, die Schwachstellenmanagement in einer Reihe von Unternehmen durchführen, die Container erstellen oder bereitstellen. Zu den wichtigsten Ergebnissen gehören:
Basierend auf diesen Interviews ist es wahrscheinlich, dass viele Unternehmen jedes Jahr Tausende von Stunden oder mehr für das Schwachstellenmanagement aufwenden. Dies entspricht der Arbeit von mindestens ein paar Vollzeitmitarbeitern pro Jahr.
Diese Zeitbelastung resultiert aus Tausenden von einzigartigen bekannten Schwachstellen in den Containern, die von modernen Softwareunternehmen gebaut oder betrieben werden. Obwohl es viele Gründe dafür gibt, besteht eine Hauptursache darin, dass einige Softwareentwicklungsteams Bilder ohne Rücksicht auf die bekannte Schwachstellenanzahl auswählen und anderen Teams im gesamten Unternehmen versehentlich Kosten auferlegen.
Lesen Sie weiter, um tiefer in die Ergebnisse einzutauchen und zu erfahren, wie Chainguard Images, Containerbilder mit bekannten Schwachstellen von niedrig bis null, die mit dem Schwachstellenmanagement verbundene Zeitbelastung drastisch reduzieren können.
Wie viel Zeit investieren Unternehmen, die containerbasierte Software erstellen und versenden, in das Schwachstellenmanagement?
Die Interviewforschung ergab, dass grobe Top-Level-Schätzungen der gesamten Zeit, die Softwareexperten direkt mit der Überprüfung und Behebung von Schwachstellen verbringen, zumindest annähernd möglich sind. Die Mitarbeiter waren oft in der Lage, die Zeit, die für diese Aktivitäten aufgewendet wurde, selbst und eng verwandte Kollegen abzuschätzen und dann zu extrapolieren.
In der folgenden Tabelle finden Sie ungefähre Schätzungen der Gesamtzeit, die Mitarbeiter direkt für das Schwachstellenmanagement aufwenden. Es ist erwähnenswert, dass sich diese Interviews auf Schätzungen des täglichen Schwachstellenmanagements und nicht auf das Schwachstellenmanagement in Krisenzeiten wie log4shell konzentrierten. Die Tabelle ist nach Organisationen geordnet, von denen geschätzt wird, dass sie am wenigsten Stunden für das Schwachstellenmanagement aufwenden.
Was haben wir also von diesem Tisch mitgenommen? Einige Unternehmen verbringen jedes Jahr Tausende von Stunden oder mehr mit Schwachstellenmanagement. Aber nicht alle.
Dennoch haben einige Unternehmen und Organisationen mit einer immensen Menge an Schwachstellenmanagement zu tun. Ein Transport- und Logistikunternehmen gibt jährlich umgerechnet zehn Personenjahre für Vulnerability Management aus. Eine andere Organisation mit Verbindungen zum Bund verbringt ebenfalls außerordentlich viel Zeit mit dem Schwachstellenmanagement.
Warum verbringen Unternehmen, die containerbasierte Software erstellen und versenden, so viel Zeit mit Schwachstellenmanagement?
Die Befragungsergebnisse wiesen auf eine Reihe von Gründen hin. Diese Liste beschreibt laut diesen Interviews die beiden wichtigsten Faktoren, warum einige Softwareunternehmen so viel Zeit damit verbringen, Schwachstellen in Containern zu verwalten.
Erstens wählen Entwickler Basisbilder (und andere Bilder) ohne Rücksicht auf die Anzahl der bekannten Software-Schwachstellen. In der Sprache der Ökonomie entstehen dadurch „negative Externalitäten“ für andere Rollen in einem Softwareunternehmen. Entwickler achten manchmal (oft sogar laut Plattform-Ingenieuren) wenig auf die Anzahl der bekannten Schwachstellen in Basisbildern.
Zweitens hängt die CVE-Korrekturzeit von der Einfachheit des Upgrades und Testens der Software ab. Für Unternehmen, die eine geringe Testabdeckung haben, umfangreiche manuelle Tests, langsame Builds oder sehr veraltete Abhängigkeiten benötigen, ist die Belastung durch die Behebung von Schwachstellen, auch über kleinere Versionsbumps einer Abhängigkeit, hoch. Betrachten Sie dies als die „DevOps“ -Ansicht des Schwachstellenmanagements. Wenn Ihr Unternehmen bei DevOps Probleme hat (und die Mehrheit tut dies), ist das Schwachstellenmanagement ein besonders großer Schmerz.
Das beste Schwachstellenmanagement ist weniger Schwachstellenmanagement
Kurz gesagt, das Management bekannter Software-Schwachstellen ist zu einer großen Zeitbelastung für moderne Software-Unternehmen geworden, die Container bauen oder betreiben. Und diese Situation scheint auf eine "negative Externität" zurückzuführen zu sein, bei der sich einige Software-Teams der bekannten Belastung durch Software-Schwachstellen, die sie anderen Teams auferlegen, nicht bewusst sind.
Während sich einige Parteien für eine ausgeklügelte Schwachstellenanalyse und -anreicherung einsetzen, gibt es eine weitere Option: Software mit null bekannten Schwachstellen auszuliefern. Das bietet Chainguard Images. Hierbei handelt es sich um Bilder mit bekannten Schwachstellen, die von Wolfi unterstützt werden. Durch die radikale Reduzierung von Schwachstellen in den Containern eines Unternehmens ist es möglich, Tausende von Stunden zurückzugewinnen, die ansonsten dem Schwachstellenmanagement zugewiesen wären.
Lesen Sie den vollständigen Bericht, um mehr darüber zu erfahren, wie Unternehmen das Schwachstellenmanagement angehen, oder wenden Sie sich an unser Team, um zu erfahren, wie Chainguard Images Ihnen helfen kann, Zeit zu sparen und die Produktivität zu steigern.
Share this article
Related articles
- research
Engineers Want to Build, Not Maintain: Key Findings From Our 2026 Engineering Reality Report
Dustin Kirkland, SVP of Engineering
- research
The Hidden Costs of CVEs — And the Value You’re Leaving on the Table
Ed Sawma, VP of Product Marketing
- research
Mitigating Malware in the Python Ecosystem with Chainguard Libraries
Aaditya Jain, Senior Product Marketing Manager
- research
Panic! At The Distro: A Study of Malware Prevention in Linux Distributions
Duc-Ly Vu, Trevor Dunlap, Paul Gibert, John Speed Meyers, and Santiago Torres-Arias
- research
Why AI developers are grumpy about containers
John Speed Meyers, Head of Chainguard Labs, and Dan Fernandez, Staff Product Manager
- research
FuzzSlice: Separating real CVEs from fakes through fuzzing
Aniruddhan Murali, Chainguard Labs Research Intern