Über 50 Prozent der weltweit größten Unternehmen verwenden zahlreiche Open-Source-Komponenten , Sicherheitsbibliotheken und Web-Frameworks einsetzen, die sicherheitsrelevante Schwachstellen enthalten. Laut einer gemeinsamen Studie von Sonatype und Aspect Security kommen diese Komponenten bei Fortune-500-Unternehmen zum Einsatz, die deraus eigene Softwareanwendungen entwickeln. Insgesamt enthalten angeblich sogar über 80 Prozent aller firmenintern entwickelten Anwendungen anfällige Komponenten und Frameworks.
Die Studie basiert auf einer Umfrage, die unter 2.550 Entwicklern, Softwarearchitekten und Analysten durchgeführt wurde. Sie kommt zum Schluss, der gute Ruf von Open-Source-Software verleite zur Annahme, sie sei durchweg von hoher und gleichbleibender Qualität. Das führe dazu, “Mängel im Ökosystem zu übersehen”. Insbesondere erreichten die Entwickler keine regelmäßigen Mitteilungen über Schwachstellen und neue Versionen, mit denen Fehler behoben wurden.
“80 Prozent des Codes in heutigen Anwendungen stammt aus Bibliotheken und Frameworks”, schreibt Aspect-CEO Jeff Williams. “Das Risiko von Schwachstellen in diesen Komponenten wird weitgehend ignoriert und unterschätzt.” Der Bericht geht von 46 Millionen Downloads unsicherer Versionen der beliebtesten Open-Source-Bibliotheken und -Frameworks aus, zu denen Google Web Toolkit, Spring MVC, Strutz 1.x und Hibernate gehören. Bei den populären Komponenten sei es nur 10 Prozent weniger wahrscheinlich als bei weniger beliebten, dass sie Schwachstellen enthalten.
“Da mehr als 80 Prozent typischer Softwareanwendungen Open-Source-Komponenten und -Frameworks in binärer Form einsetzen, sind die Ergebnisse dieser Untersuchung ein Weckruf für fast jede Organisation, die Software für geschäftskritische Abläufe entwickelt”, argumentiert Aspect Security, das ein Gründungsmitglied des Open Web Application Security Project ist. Das an der Studie beteiligte Sonatype bietet den Nexus Intelligent Repository Manager für die Verwaltung von Softwarekomponenten an und wollte damit offenbar dessen Vorteile herausstellen.
Einige führende Open-Source-Entwickler haben andere Einschätzungen, was die Ergebnisse der Studie angeht . “Die Zahlen überraschen mich nicht”, sagt Mark Thomas vom Apache Tomcat Project Management Committee. “Zweifellos gibt es Organisationen, die weiterhin mit angreifbarer Software (Open wie Closed Source) arbeiten, ohne das zu erkennen. Ich glaube nicht, dass es sich dabei um ein spezifisches Problem von Open Source handelt ‒ noch dass Open Source hier besser oder schlechter ist im Vergleich zu Closed Source.”
Andrew Aitken, Gründer der Olliance Group, bemängelt “den Ton der Studie”, indem nahegelegt werde, Open Source sei von geringerer Qualität und riskanter. Viele Studien hätten aber die meist höhere Qualität von quelloffener Software bewiesen. Er wies auf die Ergebnisse des 2010 Coverity Scan Open Source Integrity Report hin, der auf einer Analyse von 280 Open-Source-Projekten einschließlich Linux, Apache, Firefox, Samba, PostgreSQL, OpenVPN und mehr basierte. Demnach konnte Open-Source-Software mit einer weit geringeren Mängelrate im Vergleich zum Branchendurchschnitt überzeugen.
[mit Material von Paula Rooney, ZDNet.com]
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
View Comments
"unsicheres Open Source" vs "sicheres Open Source"
Natürlich ist auch Open Source Software nicht frei von potentiellen wie reellen Sicherheitsmängeln. Das zu behaupten oder anzunehmen ist ebenso gefährlich wie falsch.
Allerdings sieht die Situation bei proprietärer Software selten anders aus - m.E. sogar eher noch erheblich prekärer, da z.B. Lizenzkosten wie Anbieterbindungen nicht selten Hemmschuh für selbst kritischste Sicherheitsupdates proprietärer Software darstellt. Hinzu kommt die bei z.B. Microsoft Systemen fehlende durchgängige Softwareverwaltung, die Sicherheitsupdates entweder zur aufwendigen Handarbeit oder Aufgabe teurer Softwaredistributionstools macht.
Gerade mit den gängigen Open Source Lösungen wird es dem Anwender bzw. IT-Admin vergleichsweise einfach gemacht Sicherheitsupdates regelmäßig und flächendeckend einzuspielen. Das es dennoch häufig nicht passiert, ist eine andere Frage.
Das Sicherheitsmängel überhaupt in der Breite erkannt werden, wie das heute bei Open Source der Fall ist, ist ein Verdienst des quelloffenen Konzeptes und keine Bürde dessen, wie manche wohl immer noch/wieder meinen, das das "viele Augen Prinzip" erst möglich macht, während Sicherheitsprobleme in proprietärer Software i.d.R. nur sehr aufwendig aufzuspüren oder durch Zufall öffentlich werden - der Kunde sich letztlich auf einen oder eine Hand voll Programmierer verlassen muß und das derjenige, der ein solches Sicherheitsloch entdeckt nicht zu "den Bösen" gehört, das der Hersteller der Software zeitnah mit einem geeigneten Patch herauskommt etc..
Ich erinnere mich dabei an z.B. die über Monate bekannten hochkritischen Sicherheitslöcher in z.B. PDF-Reader, Flash Player oder früheren MS Windows Ausgaben, die bereits breiteste Ausnutzung in der Scriptkiddie Welt fanden und Wirtschaft wie Lehre erheblichen Schaden zufügten, währenddessen es der Hersteller erst nach Monaten für nötig hielt Kunden zu informieren oder gar endlich mal Abhilfe zu leisten.
Niels.
---
Inhaber
Syndicat IT & Internet
http://www.syndicat.com