Anzeige

Open Source

Der neue „State of Software Security (SoSS) v11: Open Source Edition“ Report von Veracode zeigt, dass fast 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden – trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringfügig sind und die Funktionalität selbst der komplexesten Softwareanwendungen nicht beeinträchtigen.

Open-Source-Bibliotheken entwickeln sich ständig weiter. Was heute noch sicher erscheint, kann es morgen schon nicht mehr sein und ein erhebliches Risiko für Software-Anbieter und Anwender darstellen. Verarcode hat für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 einzigartigen Bibliotheken analysiert und außerdem fast 2.000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.

Der Report zeigt im Jahresvergleich bemerkenswerte Schwankungen in der Beliebtheit und Anfälligkeit von Bibliotheken auf. So waren beispielsweise vier der fünf beliebtesten Bibliotheken in Ruby des Jahres 2019 im Jahr 2020 nicht mehr in den Top 10, während sich einige der anfälligsten Bibliotheken in Go des Jahres 2019 im Jahr 2020 als weniger angreifbar erwiesen und umgekehrt. Da fast alle modernen Anwendungen mit Open-Source-Software von Drittanbietern erstellt werden, kann sich ein einziger Fehler oder eine Anpassung in einer Bibliothek kaskadenartig auf alle Anwendungen auswirken, die diesen Code verwenden. Das bedeutet, dass diese ständigen Änderungen einen direkten Einfluss auf die Softwaresicherheit haben.

Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitslücke. „Die große Mehrheit der heutigen Anwendungen verwendet Open-Source-Code“, kommentiert Chris Eng, Chief Research Officer bei Veracode. „Die Sicherheit einer Bibliothek kann sich schnell ändern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal für eine Bibliothek entschieden haben, diese nur selten aktualisieren. Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, lässt sich eine „Einstellen und Vergessen“-Mentalität jedoch nicht länger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden.“

Die Entwicklung sicherer Anwendungen mit Open-Source-Code muss nicht anstrengend sein

Trotz der dynamischen Natur der Software-Landschaft aktualisieren Entwickler Open-Source-Bibliotheken häufig nicht mehr, wenn sie diese erst einmal in Software-Anwendungen eingebunden haben. Hinderlich kann hier ein mangelndes kontextbezogenes Verständnis dafür sein, wie eine anfällige Bibliothek mit ihrer Anwendung zusammenhängt. Entwickler, die angeben, dass ihnen diese Informationen fehlen, benötigen beispielsweise mehr als sieben Monate, um 50 Prozent der Schwachstellen zu beheben. Dies verkürzt sich jedoch drastisch auf drei Wochen, wenn ihnen die richtigen Informationen und Hilfestellungen zur Verfügung stehen. Außerdem können sie schnell reagieren, wenn sie auf eine anfällige Bibliothek aufmerksam gemacht werden: 17 Prozent der Schwachstellen werden innerhalb einer Stunde behoben und 25 Prozent innerhalb einer Woche. Wenn sie also rechtzeitig mit genauen Informationen versorgt werden, können Entwickler die Sicherheit angemessen priorisieren und Schwachstellen schnell beheben.

Weitere wichtige Ergebnisse:

  • 92 Prozent der Fehler in Open-Source-Bibliotheken können mit einem Update behoben werden und 69 Prozent der Updates bedeuten nur eine kleine oder kaum merkliche Versionsänderung.
     
  • Selbst wenn ein Update einer Open-Source-Bibliothek weitere nach sich zieht, bestehen fast zwei Drittel davon nur aus kleinen Versionsänderungen und es ist unwahrscheinlich, dass sie selbst bei den komplexesten Anwendungen die Funktionalität beeinträchtigen.
     
  • Nur 52 Prozent der befragten Entwickler verfolgen einen formalen Prozess bei der Auswahl von Bibliotheken von Drittanbietern. Gleichzeitig sind mehr als ein Viertel entweder unsicher – oder wissen erst gar nicht –, ob es einen formalen Prozess gibt.
     
  • „Sicherheit“ steht bei der Auswahl einer Bibliothek nur an dritter Stelle, während „Funktionalität“ und „Lizenzierung“ an erster bzw. zweiter Stelle stehen.

Sicherung der Software-Lieferkette rückt in den Fokus des Weißen Hauses

Erst im vergangenen Monat hat das Weiße Haus eine „Executive Order on Cybersecurity“ veröffentlicht, die sich zu fast 25 Prozent auf die Sicherung der Software-Lieferkette konzentriert. Künftig müssen Software-Anbieter, die an die US-Regierung verkaufen, die Zusammensetzung ihrer Software offenlegen und sicherstellen, dass die Software-Anwendungen automatisierte Tests durchlaufen haben.

„Im Zuge der Umsetzung der Executive Order sollte jeder, der Software entwickelt, sicherstellen, dass er seine Software früh und oft im Entwicklungszyklus überprüft“, ergänzt Chris Wysopal, Mitbegründer und Chief Technology Officer bei Veracode. „Die wachsende Popularität von Open-Source-Software in Kombination mit immer anspruchsvolleren Entwicklungszyklen führt zu einer höheren Wahrscheinlichkeit von Software-Schwachstellen. Indem man früher im Prozess scannt, reduziert man das Risikoprofil erheblich. Außerdem sind die meisten Fehlerbehebungen geringfügig und beeinträchtigen die Funktionalität selbst der komplexesten Software nicht.“

www.veracode.com
 


Artikel zu diesem Thema

Sicherheit
Mai 27, 2021

Sichere Supply Chains – Risiken erkennen, Risiken senken

Softwareentwicklung ist grundsätzlich eine gemeinschaftliche Anstrengung. Zwar fügt jedes…
US-Präsident Biden
Mai 19, 2021

US-Präsident Biden erlässt Cyber Executive Order (EO)

In der vergangenen Woche hat die US-Regierung um Präsident Biden weitreichende Erlasse…
Open Source
Mär 05, 2021

Open Source für die Digitale Transformation

Red Hat, Anbieter von Open-Source-Lösungen, hat die Ergebnisse des dritten The State of…

Weitere Artikel

Testautomatisierung

Die 5 größten Herausforderungen bei der Testautomatisierung

Um neue Anwendungen und Releases schneller bereitzustellen, müssen Unternehmen Continuous Testing in ihre DevOps-Prozesse integrieren. Doch die Automatisierung von End-to-End Functional Tests ist komplex. Welche Hindernisse es auf dem Weg dorthin zu…
Managed Services

Visibility as a Service bietet umfassenden Schutz für kritische IT-Services

NETSCOUT SYSTEMS, ein Anbieter von Cybersecurity-, Service Assurance- und Business Analytics-Lösungen, hat heute sein Managed Service-Angebot NETSCOUT Visibility as a Service (VaaS) vorgestellt, das rund um die Uhr Tests, Überwachung, Fehlerbehebung und…
Code - Software

Sechs profunde Gründe für die gemeinsame Codebasis von Programmen

Es ist wenig sinnvoll, das Rad ständig neu erfinden zu wollen. In der Software-Entwicklung ist das aber immer noch häufige Praxis. VNC erklärt die wichtigsten Vorteile einer einheitlichen Codebasis.
Software

Mythen rund um Softwareverteilung

Beim Endpoint-Management und bei der Verteilung von Softwarepaketen finden sich IT-Chefs und Admins häufig mit dem Status Quo ab. Sie können sich nicht vorstellen, dass es auch einfacher, zuverlässiger und ressourcenschonender als bisher geht.
Open Source

Die Open-Source-Revolution ist in den Fachabteilungen angekommen

Viele IT- und Entwicklungsabteilungen in Unternehmen haben die Fesseln von Closed Source inzwischen abgeworfen und setzen auf quelloffene Software. Schließlich müssen sie im Zuge der Digitalen Transformation sich schnell ändernde IT-Anforderungen umsetzen und…
Dokumentenmanagement

5 Ansatzpunkte, die ein DMS in der Logistikbranche abdecken sollte

Digitalisierung ja – aber wie packen wir es an? Diese Frage treibt viele Verantwortliche für Prozessmanagement und in der Unternehmensführung um. Der «Digital Office Index» der Bitkom zeigte deutlich, dass der deutsche Mittelstand beim Thema Digitalisierung…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.