Thought Leadership
Mit dem web-basierten Security Checker können Nutzer die Komponenten ihrer Anwendungen auf bekannte Open Source-Schwachstellen prüfen.
Black Duck gibt die Veröffentlichung des Security Checker bekannt. Mit dem kostenlosen Drag-and-Drop-Tool können Nutzer bekannte Open Source-Vulnerabilities innerhalb ihres Codes aufspüren.
Der Security Checker basiert auf Black Duck Hub, dem Flaggschiff des Unternehmens. Er scannt den Code innerhalb einer hochgeladenen Archivdatei (z. B. .tar, .jar oder .zip) oder einer Docker-Imagedatei. In einem entsprechenden Report, werden alle bekannten Sicherheitslücken aufgeführt, die sich auf Open Source zurückführen lassen oder damit in Verbindung stehen.
„Applikationen stellen im Hinblick auf Sicherheitsgefährdungen das größte Risiko dar“, so Lou Shipley, CEO von Black Duck. „Wir gehen davon aus, dass die Scanergebnisse des Security Checkers bei vielen Open Source-Nutzern einen ‘Aha-Effekt‘ auslösen werden. Und es zeigt sich sehr schnell, wie wichtig es ist, den Anwendungscode regelmäßig auf bekannte Open Source-Schwachstellen hin zu überprüfen.“
Open Source reduziert die Entwicklungskosten, ermöglicht Entwicklern, sich auf wesentliche Aufgaben zu konzentrieren, und beschleunigt die Time-to-Market. Deshalb ist seine Nutzung weltweit allgegenwärtig und die Basis für die Entwicklung moderner Anwendungen. „Unternehmen wollen die Vorteile von Open Source bestmöglich nutzen. Je weiter sich Open Source verbreitet, desto mehr erkennen sie, wie wichtig ein sicheres und effektives Management ihrer Open Source Software ist“, so Shipley.
Die maximale Dateigröße für einen Scan mit dem Security Checker ist 100MB. Shipley: „Der komplette Prozess dauert ungefähr 15 Minuten. Es lohnt sich, diese Zeit zu investieren, denn der Nutzer erhält einen wertvollen Einblick in die Sicherheit seines Open Source-Codes.“
Anfang des Monats veröffentlichte Black Duck einen aufschlussreichen Bericht zum Stand der Open Source-Sicherheit. Die Daten dazu stammen aus Audits von 200 kommerziellen Anwendungen, die von der On-Demand Business Unit des Unternehmens durchgeführt wurden. Die Ergebnisse zeigen nicht nur die weitverbreitete Anwendung von Open Source bei der Anwendungsentwicklung. Sie verdeutlichen auch die ständigen Herausforderungen, mit denen sich Unternehmen bei der Sicherung und Verwaltung der genutzten Open Source Software konfrontiert sehen.
Weitere Ergebnisse des Berichts:
67 Prozent der untersuchten Anwendungen enthalten bekannte Open Source Vulnerabilities, von denen mehr als ein Drittel als „gravierend“ eingestuft wurden. Zudem enthielten zehn Prozent die Heartbleed-Schwachstelle, die im April 2014 entdeckt wurde.
Der Security Checker kann unter www.blackducksoftware.com/checker abgerufen werden.
