Meldung

Risiken von Open-Source-Software unter der Lupe

Snyk, Anbieter von Security-Lösungen für Entwickler, und die Linux Foundation haben heute die Ergebnisse ihres ersten gemeinsamen Forschungsberichts "The State of Open Source Security", bekannt gegeben. Diese zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben.
Moderne Anwendungsentwicklungsteams nutzen Code aus einer Vielzahl von Quellen. Sie verwenden Code aus anderen Anwendungen, die sie erstellt haben, und durchsuchen Code-Repositories, um Open-Source-Komponenten zu finden, die ihnen die benötigten Funktionen bieten. Die Verwendung von Open Source erfordert ein neues Sicherheitsdenken bezüglich der Entwickler, das viele Unternehmen noch nicht angenommen haben.

Die Ergebnisse zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben, und auch, dass viele Unternehmen derzeit schlecht darauf vorbereitet sind, diese Risiken effektiv zu bewältigen. Der Bericht stellt insbesondere Folgendes fest:

  • Mehr als vier von zehn Unternehmen (41 Prozent) haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software.
  • Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten (Open-Source-Code, der von einem Projekt aufgerufen wird).
  • Die Zeit, die benötigt wird, um Schwachstellen in Open-Source-Projekten zu beheben, ist stetig gestiegen und hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.

Im Schnitt 80 Abhängigkeiten
Wenn Entwickler eine Open-Source-Komponente in ihre Anwendungen integrieren, werden sie sofort von dieser Komponente abhängig und sind einem Risiko ausgesetzt, wenn diese Komponente Sicherheitslücken enthält. Der Bericht zeigt, wie real dieses Risiko ist, denn in jeder untersuchten Anwendung wurden Dutzende von Schwachstellen in vielen direkten Abhängigkeiten entdeckt. Das durchschnittliche Anwendungsentwicklungsprojekt hat demnach 49 Schwachstellen und 80 direkte Abhängigkeiten.

Dieses Risiko wird durch indirekte oder transitive Abhängigkeiten, also die Abhängigkeiten von anderen Abhängigkeiten, noch verstärkt. Viele Entwickler wissen nicht einmal von diesen Abhängigkeiten, was es noch schwieriger macht, sie zu verfolgen und abzusichern. Dennoch sind sich die Umfrageteilnehmer in gewissem Maße der Sicherheitskomplexität bewusst, die durch Open Source in der heutigen Software-Lieferkette entsteht:

  • Mehr als ein Viertel der Umfrageteilnehmer gab an, dass sie sich Sorgen über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten machen.
  • Nur 18 Prozent der Befragten gaben an, dass sie von den Kontrollen, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, überzeugt sind.
  • Vierzig Prozent aller Schwachstellen wurden in transitiven Abhängigkeiten gefunden.

Schwachstellen bleiben länger vorhanden
Mit der zunehmenden Komplexität der Anwendungsentwicklung wurden auch die Sicherheitsherausforderungen für die Entwicklungsteams immer komplexer. Die Verwendung von Open-Source-Software macht die Entwicklung zwar effizienter, erhöht aber auch den Reparaturaufwand. Dem Bericht zufolge dauert die Behebung von Schwachstellen in Open-Source-Projekten fast 20 Prozent länger (18,75 Prozent) als in proprietären Projekten.

"Softwareentwickler haben heute ihre eigenen Lieferketten – aber statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme", sagt Matt Jarvis, Director, Developer Relations, Snyk.

"Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt Innovationen, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie zu sichern", erläutert Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). "Diese Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Praktiken bei Open Source oder in der Software-Lieferkette wegzukommen."
21.06.2022/dr

Tipps & Tools

Kostenlos freier surfen [1.07.2022]

Im Internet auch anonym unterwegs sein zu können, sollte für IT-Profis längst selbstverständlich sein. Dabei unterstützt Sie das Tool "Windscribe", das Sie das VPN des kanadischen Anbieters unter begrenztem Datenvolumen kostenfrei nutzen lässt und so sowohl Werbetracker unterbindet als auch Content-Sperren einfach umgeht. [mehr]

Sensible Infos sicher teilen [24.06.2022]

Zwar bietet die Verschlüsselung von beispielsweise per E-Mail oder Messanger übermittelten Informationen bereits ein ordentliches Datenschutzniveau. Doch für Mitteilungen mit besonders sensiblem Inhalt wie Finanzdetails oder Passwörter wünschen sich mancher Anwender eine weitere Absicherung. Für sie wartet das kostenfrei nutzbare Internetportal "Saltify" zusätzlich mit Phrasen-Passwort und einer Halbwertszeit von Daten auf. [mehr]

Fachartikel

Kritische Infrastrukturen im Cyberkrieg [29.06.2022]

Internationale Konflikte werden längst nicht mehr nur auf dem Land, zu Wasser oder in der Luft ausgetragen. Mit dem Cyberspace ist eine neue Dimension der Kriegsführung hinzugekommen. Dies zeigt sich auch aktuell: So geraten ukrainische Netzwerke ins Visier russischer Hacker, während private Akteure wie Anonymous Russland mit Hackbacks drohen. Unser Beitrag beleuchtet, wie sich die Zukunft der staatlichen Cybersicherheit vor diesem Hintergrund verändert, insbesondere wenn diese – etwa in der NATO – international organisiert ist. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen