Anzeige

Open Source

Der neue „State of Software Security (SoSS) v11: Open Source Edition“ Report von Veracode zeigt, dass fast 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden – trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringfügig sind und die Funktionalität selbst der komplexesten Softwareanwendungen nicht beeinträchtigen.

Open-Source-Bibliotheken entwickeln sich ständig weiter. Was heute noch sicher erscheint, kann es morgen schon nicht mehr sein und ein erhebliches Risiko für Software-Anbieter und Anwender darstellen. Verarcode hat für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 einzigartigen Bibliotheken analysiert und außerdem fast 2.000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.

Der Report zeigt im Jahresvergleich bemerkenswerte Schwankungen in der Beliebtheit und Anfälligkeit von Bibliotheken auf. So waren beispielsweise vier der fünf beliebtesten Bibliotheken in Ruby des Jahres 2019 im Jahr 2020 nicht mehr in den Top 10, während sich einige der anfälligsten Bibliotheken in Go des Jahres 2019 im Jahr 2020 als weniger angreifbar erwiesen und umgekehrt. Da fast alle modernen Anwendungen mit Open-Source-Software von Drittanbietern erstellt werden, kann sich ein einziger Fehler oder eine Anpassung in einer Bibliothek kaskadenartig auf alle Anwendungen auswirken, die diesen Code verwenden. Das bedeutet, dass diese ständigen Änderungen einen direkten Einfluss auf die Softwaresicherheit haben.

Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitslücke. „Die große Mehrheit der heutigen Anwendungen verwendet Open-Source-Code“, kommentiert Chris Eng, Chief Research Officer bei Veracode. „Die Sicherheit einer Bibliothek kann sich schnell ändern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal für eine Bibliothek entschieden haben, diese nur selten aktualisieren. Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, lässt sich eine „Einstellen und Vergessen“-Mentalität jedoch nicht länger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden.“

Die Entwicklung sicherer Anwendungen mit Open-Source-Code muss nicht anstrengend sein

Trotz der dynamischen Natur der Software-Landschaft aktualisieren Entwickler Open-Source-Bibliotheken häufig nicht mehr, wenn sie diese erst einmal in Software-Anwendungen eingebunden haben. Hinderlich kann hier ein mangelndes kontextbezogenes Verständnis dafür sein, wie eine anfällige Bibliothek mit ihrer Anwendung zusammenhängt. Entwickler, die angeben, dass ihnen diese Informationen fehlen, benötigen beispielsweise mehr als sieben Monate, um 50 Prozent der Schwachstellen zu beheben. Dies verkürzt sich jedoch drastisch auf drei Wochen, wenn ihnen die richtigen Informationen und Hilfestellungen zur Verfügung stehen. Außerdem können sie schnell reagieren, wenn sie auf eine anfällige Bibliothek aufmerksam gemacht werden: 17 Prozent der Schwachstellen werden innerhalb einer Stunde behoben und 25 Prozent innerhalb einer Woche. Wenn sie also rechtzeitig mit genauen Informationen versorgt werden, können Entwickler die Sicherheit angemessen priorisieren und Schwachstellen schnell beheben.

Weitere wichtige Ergebnisse:

  • 92 Prozent der Fehler in Open-Source-Bibliotheken können mit einem Update behoben werden und 69 Prozent der Updates bedeuten nur eine kleine oder kaum merkliche Versionsänderung.
     
  • Selbst wenn ein Update einer Open-Source-Bibliothek weitere nach sich zieht, bestehen fast zwei Drittel davon nur aus kleinen Versionsänderungen und es ist unwahrscheinlich, dass sie selbst bei den komplexesten Anwendungen die Funktionalität beeinträchtigen.
     
  • Nur 52 Prozent der befragten Entwickler verfolgen einen formalen Prozess bei der Auswahl von Bibliotheken von Drittanbietern. Gleichzeitig sind mehr als ein Viertel entweder unsicher – oder wissen erst gar nicht –, ob es einen formalen Prozess gibt.
     
  • „Sicherheit“ steht bei der Auswahl einer Bibliothek nur an dritter Stelle, während „Funktionalität“ und „Lizenzierung“ an erster bzw. zweiter Stelle stehen.

Sicherung der Software-Lieferkette rückt in den Fokus des Weißen Hauses

Erst im vergangenen Monat hat das Weiße Haus eine „Executive Order on Cybersecurity“ veröffentlicht, die sich zu fast 25 Prozent auf die Sicherung der Software-Lieferkette konzentriert. Künftig müssen Software-Anbieter, die an die US-Regierung verkaufen, die Zusammensetzung ihrer Software offenlegen und sicherstellen, dass die Software-Anwendungen automatisierte Tests durchlaufen haben.

„Im Zuge der Umsetzung der Executive Order sollte jeder, der Software entwickelt, sicherstellen, dass er seine Software früh und oft im Entwicklungszyklus überprüft“, ergänzt Chris Wysopal, Mitbegründer und Chief Technology Officer bei Veracode. „Die wachsende Popularität von Open-Source-Software in Kombination mit immer anspruchsvolleren Entwicklungszyklen führt zu einer höheren Wahrscheinlichkeit von Software-Schwachstellen. Indem man früher im Prozess scannt, reduziert man das Risikoprofil erheblich. Außerdem sind die meisten Fehlerbehebungen geringfügig und beeinträchtigen die Funktionalität selbst der komplexesten Software nicht.“

www.veracode.com
 


Artikel zu diesem Thema

Sicherheit
Mai 27, 2021

Sichere Supply Chains – Risiken erkennen, Risiken senken

Softwareentwicklung ist grundsätzlich eine gemeinschaftliche Anstrengung. Zwar fügt jedes…
US-Präsident Biden
Mai 19, 2021

US-Präsident Biden erlässt Cyber Executive Order (EO)

In der vergangenen Woche hat die US-Regierung um Präsident Biden weitreichende Erlasse…
Open Source
Mär 05, 2021

Open Source für die Digitale Transformation

Red Hat, Anbieter von Open-Source-Lösungen, hat die Ergebnisse des dritten The State of…

Weitere Artikel

Zoom

Zoom: Erweiterung mit der Einführung von Zoom Apps und Zoom Events

Zoom Video Communications gibt die allgemeine Verfügbarkeit seiner neuesten Produktintegrationen, Zoom Apps und Zoom Events, bekannt.
Cloud Computing

Teradata erweitert sein Cloud-Angebot auf Microsoft Azure

Teradata Vantage ist jetzt mit neuen Funktionen auf Microsoft Azure verfügbar. Die Software-Plattform für Multi-Cloud-Datenanalysen bietet Unternehmen tiefgreifende Einblicke in ihren Geschäftsbetrieb.
Softwareentwicklung

2-Speed Softwareentwicklung – bald Standard?

2021 wird sich die „Softwareentwicklung in zwei Geschwindigkeiten“ als Standard bei Industrieunternehmen etablieren, prognostiziert Edward Lenssen, CEO der Firma Beech IT, die auf die Erstellung hochkomplexer Software­systeme, Websites und Apps spezialisiert…
Business Intelligence

Zoho erweitert sein BI- und Analytics-Portfolio um Self-Service-Plattform

Die neue Business-Intelligence-Plattform des globalen Technologieunternehmens Zoho bietet neue KI-gestützte Funktionen für die Datenaufbereitung und -verwaltung.
Java

Java ist weiterhin Spitzenreiter der Programmiersprachen

Selbst nach 25 Jahren ist Java immer noch eine der beliebtesten Programmiersprachen im Open-Source-Bereich – weltweit.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.