Report über Sicherheitslücken in Open Source Software|Studie der Woche

SicherheitsschildCoverity, ein US-amerikanischer Anbieter von Testsoftware, hat für seinen aktuellen Scan Security Spotlight Report die Sicherheitslücken von Open Source Software untersucht. 

Durch die Erweiterung des Coverity Scan Service um den Coverity Security Advisor können Software-Entwickler damit nun auch die zehn größten Risiken für Webanwendungen ermitteln, die auf der Top 10 Liste des Open Web Application Security Project (OWASP) stehen. Seit kurzem umfasst der Service auch Testfunktionen für Open-Source-Projekte auf Basis von C#.

Anzeige

Sicherheitslücken in Open-Source-Code wie Shellshock, OpenSSL Heartbleed und GoToFail zeigen, dass Organisationen verstärkt auf die Qualität und Sicherheit ihres Programm-Codes achten sollten. Der neue Coverity Scan Security Spotlight Report zeigt mehrere Mängel und Sicherheitslücken von Open-Source-Code auf und belegt, dass der Coverity Scan Service die GoToFail-Lücke erkannt hätte.

Mit dem Coverity Scan Service ermöglicht Coverity seit 2006 den Entwicklern von Open Source Software, kritische Sicherheitslücken wie Buffer Overflows, Integer Overflows oder String. Format-Fehler in C/C++ Code zu finden und zu beheben. Ab sofort können damit jetzt auch Java-Entwickler Sicherheitslücken in ihrem Software Code ermitteln und schließen, darunter auch die größten Risiken von Webanwendungen, die auf der OWASP Top Ten Liste stehen.

668 OWASP Top 10-Sicherheitslücken in 37 Open Source Projekten

Die OWASP Top 10 Rangliste der zehn schwerwiegendsten Sicherheits-Schwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. Bereits in der kurzen Zeit seit Erweiterung um die neue Funktion konnte der Coverity Scan Service in 37 Open-Source-Projekten insgesamt 668 OWASP Schwachstellen in mit Java programmierten Open-Source-Webanwendungen finden. Dazu gehören Projekte aus den Bereichen Big Data, Netzwerk-Management oder Blog-Server. Hier eine Übersicht der gefundenen OWASP Top 10 Schwachstellen: 

Rangfolge Schwachstelle Anzahl der entdeckten Lücken
1 Injection 135
2 Fehler bei Authentifizierung und Session Management 43
3 Cross-Site Scripting (XSS) 139
4 Unsichere Direct Object References 210
5 Fehlerhafte Sicherheits-Konfiguration 10
6 Zugriff auf sensible Daten 8
7 Fehlende Function Level Access Control 4
8 Cross-Site Request Forgery (CSRF) 139
9 Einsatz von Komponenten mit bekannten Schwachstellen k.A.
10 Ungeprüfte Redirects und Forwards 0

 

„Der Weg zur Qualität und Sicherheit von Anwendungen beginnt bei der Entwicklung“, sagte Zack Samocha, Senior Director Products bei Coverity. „Die drei jüngsten kritischen Sicherheitsvorfälle Shellshock, OpenSSL Heartbleed und GoToFail bei Open-Source-Code zeigen, dass Open-Source-Entwickler ihren Code von Anfang an auch auf Sicherheit ausrichten sollen. Zudem sollten sie Experten zu Rate ziehen, die ihnen Schwachstellen im Code und potenzielle Angriffsvektoren erläutern. Auch Best Practices bei der sicheren Entwicklung von proprietären Anwendungen wie die statische Analyse oder regelmäßige Sicherheitsprüfungen lassen sich auf die Open-Source-Welt übertragen.“

Der Coverity Scan Service hat in den letzten acht Jahren mehrere Hundert Millionen Zeilen an Code analysiert – von mehr als 1.500 Open Source Projekten, darunter C/C++ Projekte wie NetBSD, FreeBSD, LibreOffice und Linux, und Java Projekte wie Apache Hadoop, HBase und Cassandra. Entwickler konnten mit Hilfe des Scan Service seit 2006 mehr als 94.000 Fehler finden und reparieren. Alleine 2013 wurden knapp 50.000 Fehler behoben – die größte Zahl, die je in einem Jahr von Scan-Nutzern behoben wurde. Mehr als 11.000 der Fehler wurden von den vier großen Projekten des Scan Service repariert: NetBSD, FreeBSD, LibreOffice und Linux.

Zum Download des Coverity Scan Security Spotlight.

www.coverity.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.