Risiken von Open-Source-Software unter der Lupe

Lesezeit
2 Minuten
Bis jetzt gelesen

Risiken von Open-Source-Software unter der Lupe

21.06.2022 - 13:11
Veröffentlicht in:
Snyk, Anbieter von Security-Lösungen für Entwickler, und die Linux Foundation haben heute die Ergebnisse ihres ersten gemeinsamen Forschungsberichts "The State of Open Source Security", bekannt gegeben. Diese zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben.
Moderne Anwendungsentwicklungsteams nutzen Code aus einer Vielzahl von Quellen. Sie verwenden Code aus anderen Anwendungen, die sie erstellt haben, und durchsuchen Code-Repositories, um Open-Source-Komponenten zu finden, die ihnen die benötigten Funktionen bieten. Die Verwendung von Open Source erfordert ein neues Sicherheitsdenken bezüglich der Entwickler, das viele Unternehmen noch nicht angenommen haben.

Die Ergebnisse zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben, und auch, dass viele Unternehmen derzeit schlecht darauf vorbereitet sind, diese Risiken effektiv zu bewältigen. Der Bericht stellt insbesondere Folgendes fest:

  • Mehr als vier von zehn Unternehmen (41 Prozent) haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software.
  • Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten (Open-Source-Code, der von einem Projekt aufgerufen wird).
  • Die Zeit, die benötigt wird, um Schwachstellen in Open-Source-Projekten zu beheben, ist stetig gestiegen und hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.

Im Schnitt 80 Abhängigkeiten
Wenn Entwickler eine Open-Source-Komponente in ihre Anwendungen integrieren, werden sie sofort von dieser Komponente abhängig und sind einem Risiko ausgesetzt, wenn diese Komponente Sicherheitslücken enthält. Der Bericht zeigt, wie real dieses Risiko ist, denn in jeder untersuchten Anwendung wurden Dutzende von Schwachstellen in vielen direkten Abhängigkeiten entdeckt. Das durchschnittliche Anwendungsentwicklungsprojekt hat demnach 49 Schwachstellen und 80 direkte Abhängigkeiten.

Dieses Risiko wird durch indirekte oder transitive Abhängigkeiten, also die Abhängigkeiten von anderen Abhängigkeiten, noch verstärkt. Viele Entwickler wissen nicht einmal von diesen Abhängigkeiten, was es noch schwieriger macht, sie zu verfolgen und abzusichern. Dennoch sind sich die Umfrageteilnehmer in gewissem Maße der Sicherheitskomplexität bewusst, die durch Open Source in der heutigen Software-Lieferkette entsteht:

  • Mehr als ein Viertel der Umfrageteilnehmer gab an, dass sie sich Sorgen über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten machen.
  • Nur 18 Prozent der Befragten gaben an, dass sie von den Kontrollen, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, überzeugt sind.
  • Vierzig Prozent aller Schwachstellen wurden in transitiven Abhängigkeiten gefunden.

Schwachstellen bleiben länger vorhanden
Mit der zunehmenden Komplexität der Anwendungsentwicklung wurden auch die Sicherheitsherausforderungen für die Entwicklungsteams immer komplexer. Die Verwendung von Open-Source-Software macht die Entwicklung zwar effizienter, erhöht aber auch den Reparaturaufwand. Dem Bericht zufolge dauert die Behebung von Schwachstellen in Open-Source-Projekten fast 20 Prozent länger (18,75 Prozent) als in proprietären Projekten.

"Softwareentwickler haben heute ihre eigenen Lieferketten – aber statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme", sagt Matt Jarvis, Director, Developer Relations, Snyk.

"Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt Innovationen, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie zu sichern", erläutert Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). "Diese Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Praktiken bei Open Source oder in der Software-Lieferkette wegzukommen."

dr

[1] https://snyk.io/reports/open-source-security/

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.