Meldung

Steigende Compliance- und Sicherheitsrisiken bei Open-Source-Software

Ein aktueller Report von Revenera zeigt den Umfang an undokumentierter Open-Source-Software in Unternehmen und potenzielle Compliance- und Sicherheitsrisiken. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle – im Schnitt 1959 pro Audit. Im Vergleich zum Vorjahr habe sich die Zahl damit fast verdreifacht.
Revenera hat Open-Source-Software in Unternehmen auf das Einhalten von Compliance-Vorgaben überprüft.
Den Anstieg von Compliance- und Sicherheitsrisiken in Open-Source-Software (OSS) führen die Analysten unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurück, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58 Prozent.

Weiterhin zeigt der "2021 Open Source License Compliance Report" [1], dass sich Unternehmen nach wie vor schwertun, das Ausmaß der Open-Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses lediglich vier Prozent bekannt waren, gehen tatsächlich 55 Prozent der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von zehn Prozent im Vergleich zum letzten Jahr. Die Analysten identifizierten im Schnitt 89 Schwachstellen pro Audit. Von den aufgedeckten Schwachstellen stellten 46 Prozent ein hohes CVSS-Risiko dar (Common Vulnerability Scoring System).

Rund fünf Prozent der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen. Insgesamt fand das Audit-Team über 9000 P1-Verstöße. In jedem Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL. Die Copyleft-Lizenzierung wird oft mit freier Software gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen.
2.02.2021/jm

Tipps & Tools

Google finanziert Sicherheitsspezialisten für Linux-Kernel [5.03.2021]

Die Linux Foundation stellt zwei langjährige Maintainer als neue hauptamtliche Sicherheitsspezialisten vor: Von Google finanziert sollen sich Gustavo Silva und Nathan Chancellor ausschließlich um die Sicherheit des Linux-Kernels sowie um damit verbundene Initiativen kümmern. [mehr]

Sicherheitslücken in VMware ESXi und vSphere Client [2.03.2021]

Kürzlich wurden drei Schwachstellen in VMware ESXi und vSphere Web-Client entdeckt. Ein böswilliger Akteur mit Netzwerkzugriff auf Port 427 beziehungsweise Port 443 könnte die Sicherheitslücken nutzen, um Code auf dem vCenter-Server-Betriebssystem auszuführen oder Informationen durch eine POST-Anfrage abzugreifen. Es seien bereits Updates verfügbar, um die Schwachstellen in den betroffenen VMware-Produkten zu beheben. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen