Meldung

Tool findet Open-Source-Sicherheitslücken automatisch

Google hat die sogenannte "Open-Source-Vulnerabilities-Website" ins Leben gerufen. Sie bietet Verantwortlichen von Open-Source-Projekten eine API, um Sicherheitslücken in betroffenen Versionen schneller zu identifizieren. Gleichzeitig beinhaltet die Website eine Schwachstellendatenbank mit Hinweisen zu Patches.
Mithilfe der OSV-Website von Google lassen sich Schwachstellen in Open-Source-Projekten schneller finden.
Die "Open-Source-Vulnerabilities-Website" (OSV) [1] untersucht jede Schwachstelle mithilfe einer automatisierten Analyse, um die genauen betroffenen Commit- und Versionsbereiche zu bestimmen. Für Interessenten stellt OSV eine API [2] zur Verfügung, mit der sie abfragen können, ob ihre Versionen betroffen sind oder nicht.

Laut Google [3] ist es für Verantwortliche von Open-Source-Projekten schwierig, einer Schwachstelle einen CVE-Eintrag (Common Vulnerabilities and Exposures) innerhalb der verwendeten Paketversion zuzuweisen. Das liegt daran, dass Versionsschemata in vorhandenen Schwachstellenstandards nur unzureichend mit den tatsächlichen Open-Source-Versionsschemata übereinstimmen, die normalerweise Versionen/Tags und festgeschriebene Hashes sind. Google warnt in diesem Zusammenhang davor, dass Sicherheitslücken übersehen werden könnten, was dann auch die Benutzer der Projekte beeinträchtigt.

Bei 10 Millionen Repositories auf GitHub, die täglich wachsen, ist es kaum mehr möglich, Schwachstellen zuverlässig zu identifizieren und nachzuverfolgen. Selbst wenn ein Projektbetreuer die Absicht hat, ein Sicherheitsproblem in allen betroffenen Versionen des Projektcodes zu beheben, fehlen in der Realität oftmals die Ressourcen, um eine umfassende Liste der betroffenen Projekte zu erstellen, geschweige denn alles zu entwickeln und zu patchen.
16.02.2021/jm

Tipps & Tools

Cyberkriminelle setzen zunehmend auf Automatisierungstools [23.02.2021]

Sicherheitsexperten haben eine zweimonatige Datenstichprobe zu Angriffen auf Webanwendungen analysiert und dabei eine hohe Anzahl automatisierter Angriffe festgestellt. Fast 20 Prozent waren Fuzzing-Attacken, bei denen Automatisierung verwendet wird, um Schwachstellen zu finden und auszunutzen. Injection-Angriffe folgten mit etwa zwölf Prozent – hierfür gebrauchten Angreifer Tools wie sqlmap, um in die Anwendungen einzudringen. [mehr]

Download der Woche: Flagfox [17.02.2021]

Wenn Sie beim Surfen auf eine verdächtige Webseite stoßen, möchten Sie vielleicht Genaueres über den Betreiber herausfinden. Das Add-on "Flagfox" für den Firefox-Browser ermittelt den Serverstandort einer besuchten Webseite und bietet zusätzlich Funktionen wie Seitenübersetzung, Virenscanner und Erstellen von Kurz-URLs. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen