:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/7e/5b/7e5b4bed22568661f357f4a0dcd9a739/0114219395.jpeg "Das Ergebnis ist ein schmucker Blindtext-Generator per Shortcode, der praktisch aber wenig sinnvoll ist. (Bild: Rentrop)")
:quality(80)/p7i.vogel.de/wcms/0a/96/0a96a5466d57862cf0bc9c8f96ec187e/0114288251.jpeg "In der EMEA-Region sind Software-Schwachstellen offenbar häufiger und kritischer als in anderen Regionen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/63/d2/63d2f4e43c55e2140ec3bd9b96d19d5c/0114247757.jpeg "Zumindest in der jetzigen Form wird künstliche Intelligenz keine Jobs vernichten, sondern vielmehr ergänzen. (Bild: <a href=https://pixabay.com/de/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/25/2e255287e57b5c4fd0deade8cd8e58b7/0114431948.jpeg "Wie weit Unternehmen bei der DevOps-Automatisierung vorangeschritten sind, hat Dynatrace genauer untersucht. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/4c/c64c6a3dba991b444c94fd5d178865c1/0114305357.jpeg "Die europäische Ausgabe der Progress ChefConf gastiert dieses Jahr in München. (Bild: Progress)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c30840530ef2f3d100c3ff2c5ef95/0114190148.jpeg "Immer mehr Developer haben angesichts des Stresses mit Burnout-Symptomen zu kämpfen, Clean Coding kann Abhilfe schaffen. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/6d/7b/6d7bd893f3034b22e9515d03f4a2bcf8/0114243416.jpeg "Lens AppIQ richtet sich laut Mirantis insbesondere an IT-Fachkräfte, die täglich mit Kubernetes arbeiten müssen. (Bild: Mirantis)")
:quality(80)/p7i.vogel.de/wcms/4a/2c/4a2c83570cf413a53acc88791127985b/0113689146.jpeg "UX- und UI-Design müssen sich auf immer neue Trends einstellen, es gibt allerdings auch einige festgeschriebene Grundregeln. (Bild: <a href=https://unsplash.com/@karlsolano>Karl Solano</a>)")
:quality(80)/p7i.vogel.de/wcms/bf/88/bf88d3e9f2f3c4cd391fc2218d8eca4c/0114136576.jpeg "Generative KI sollte als unterstützendes Tool verantwortungsbewusst eingesetzt werden. (© ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/92/149229c3cdb94b319e006f52423c09db/0114168289.jpeg "Eine Kombination aus Rust und Python – oder Python und Rust – kann die Vorteiler beider Programmiersprachen vereinen. (Bild: <a href=https://pixabay.com/users/artdemarta-6006022/>Marta Bellés</a>)")
:quality(80)/p7i.vogel.de/wcms/45/93/45930907cccf8cb2ca621cb6555cf717/0114183021.jpeg "SQL-Datenbanken lassen sich unproblematisch hin zu PostgreSQL migrieren, Unternehmen sollten diesen Schritt trotzdem gut vorbereiten. (Bild: Leonardo.ai)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Richtlinien, Inventarisierung und mehr 5 Best Practices für sichere Open-Source-Integration
Open Source Code ist nicht zwingend anfälliger als poprietärer Code. Bei quelloffenen Komponenten sind aber viele Informationen über Schwachstellen vorhanden, was sie für Angreifer durchaus interessant macht. Mit diesen fünf Best Practices wird Open Source sicher.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Kürzlich hat ein Forrester Research-Report die Aufmerksamkeit auf Open-Source-Kompoenten in der Anwendungsentwicklung gelenkt: lediglich zehn bis 20 Prozent des Codes in Anwendungen seien demnach maßgeschneidert, der Rest basiert auf frei verfügbarem Code.
Obwohl traditionelle Sicherheitstools für Anwendungen wie DAST (Dynamic Application Security Testing) oder SAST (Static Application Security Testing) effektiv Bugs in maßgeschneidertem Anwendungscode finden, können sie Schwachstellen in Open-Source-Komponenten nicht identifizieren – oft auch nicht nach Monaten oder Jahren, nachdem die Bugs öffentlich bekannt wurden.
Tatsächlich werden die meisten Open-Source-Schwachstellen von Sicherheitsexperten entdeckt und nicht etwa durch DAST oder SAST. Seit dem Jahr 2004 wurden mehr als 74.000 Schwachstellen von der National Vulnerability Database (NVD) bekanntgegeben, davon resultiert jedoch nur eine Handvoll aus kommerziellen Sicherheitstools wie DAST, SAST oder Fuzzers.
Mehr als 80 Prozent aller Cyber-Attacken erfolgen auf Applikationsebene. Kombiniert man nun die Fakten, dass Anwendungen das Hauptziel von Cyberattacken sind, Open Source andererseits ein wesentlicher Bestandteil von Code heutzutage ist und schließlich traditionelle Sicherheitstools nicht effektiv in der Identifikation von Open Source sind, kommt man zu folgendem Schluss: Schwachstellen in Open Source gehören zu den größten Risiken für die Sicherheit von Anwendungen.
Unsere Forschung zeigt, dass eine kommerzielle Anwendung im Durchschnitt aus mehr als 140 diskreten Open-Source-Komponenten besteht. Im vergangenen Jahr wurden mehr als 3.600 neue Schwachstellen in Open-Source-Komponenten gemeldet – das sind im Schnitt zehn pro Tag sowie ein Anstieg um zehn Prozent gegenüber 2015.
Vor diesem Hintergrund wird klar, dass effektive Open-Source-Sicherheit und -Verwaltung dringend benötigt werden. Allerdings zeigen unsere Untersuchungen von Code konsequent, dass sich viele Organisationen der Sicherheits- und Lizenzvereinbarungsrisiken, denen sie sich mit der Verwendung von Open Source möglicherweise aussetzen, nicht bewusst sind.
Warum mögen Angreifer Open-Source-Schwachstellen?
Es gibt keinen Beweis dafür, dass Open Source mehr oder weniger sicher ist als maßgeschneiderte Software. Beides ist Software, die potenziell Bugs enthält. Aufgrund der Allgegenwärtigkeit von beliebten Open-Source-Komponenten jedoch sehen Angreifer diese als attraktive Umgebung mit öffentlich verfügbaren Informationen über Schwachstellen sowie detaillierten Informationen und Beispiele darüber, wie man sie ausnutzt.
Open Source ist nur schwer manuell nachzuverfolgen, so dass Organisationen oft nicht wissen, welche Open-Source-Komponenten sie nutzen. Im Unterschied zu kommerzieller Software, bei der dem Kunden Updates und Bug-Fixes mitgeteilt werden, ist Open Source ein „Pull“-Support-Modell.
Das heißt, die Nutzer sind selbst dafür verantwortlich, sich über Schwachstellen, Fixes und Updates für den verwendeten Open-Source-Code zu informieren. Auch wenn sich eine Organisation der verwundbaren Open-Source-Komponenten bewusst ist, die sie nutzt, ist es dennoch sehr wahrscheinlich, dass die Komponenten ungepatched bleiben.
Best Practice, um Open-Source-Risiken zu umgehen
1. Erstellung und Durchsetzung von Richtlinien für den Gebrauch von Open Source
Viele Organisationen tun sich bereits bei der Dokumentation von Open-Source-Richtlinien schwer. Es sollte einen Verantwortlichen oder ein verantwortliches Komitee geben, das den Gebrauch von Open Source überwacht, Richtlinien dokumentiert und Entwickler darin schult, wie man verantwortungsvoll mit Open Source umgeht.
2. Erstellung und Unterstützung einer umfassenden Inventarauflistung über genutzte Open-Source-Elemente
Es sollten alle Open-Source-Komponenten aufgelistet werden, die zur Erstellung einer Software genutzt werden. Ein vollständiges Inventar umfasst alle Open-Source-Komponenten, die verwendeten Versionen sowie die Downloadquellen für jedes Projekt, das genutzt oder entwickelt wird. Zudem sollten Abhängigkeiten darin enthalten sein, also die Bibliotheken, die der Code aufruft, beziehungsweise die Bibliotheken, auf die die Abhängigkeiten verlinken.
Sollten externe Entwickler beteiligt sein, sollte man sichergehen, dass diese ebenso gewissenhaft mit dem Inventar umgehen wie das eigene Team. Denn je größer das Team ist und je mehr Teams man hat, desto unhandlicher wird der Inventarprozess und desto anfälliger ist man für Fehler und Versäumnisse.
3. Überblick über bekannte Sicherheitsschwachstellen von Open Source
Quellen wie die NVD bieten Informationen zu öffentlich bekannten Schwachstellen in Open-Source-Software; jedoch werden nicht alle Schwachstellen der NVD gemeldet und oft es ist schwer zu erkennen, welche Version einer angegebenen Open-Source-Komponente betroffen ist. Man sollte sich daher nicht nur auf die NVD als Informationsquelle für Schwachstellen stützen. Weitere hilfreiche Informationsquellen sind Projektverteilungsseiten, wie sie beispielsweise von Debian- oder Python-Projekten gepflegt werden. Security-Blogs und Message Boards wie die US-CERT Alerts Page oder das Security Weblog von Google sollten ebenfalls Teil der Informationsquellen zu Schwachstellen sein.
4. Identifizierung weiterer Open-Source-Risiken
Die Nichteinhaltung von Open-Source-Lizenzierungen kann für Organisationen ein Risiko für Rechtsstreitigkeiten oder eine Verletzung des geistigen Eigentums darstellen. Ebenso kann die Verwendung von veralteten oder schlechten Komponenten die Qualität der Anwendungen beeinträchtigen.
5. Ständige Überwachung von neuen Open Source Risiken
Mit über 3.600 neuen Schwachstellen, die jedes Jahr bekannt werden, endet das Tracking von Schwachstellen nicht, wenn eine Anwendung die Entwicklungsphase verlässt. Organisationen müssen stetig Ausschau nach neuen Bedrohungen halten, solange die Anwendung in Gebrauch ist.
Ein Schritt in Richtung Open-Source-Sicherheit
Auch wenn es einfacher scheint, wie bisher weiter zu machen und auf das Beste zu hoffen, ist der wichtigste Schritt, einen Open-Source-Security-Management-Prozess zu etablieren. Denn Anwendungsschwachstellen sind die größte Sicherheitsbedrohung für die eigene Organisation; und der Gebrauch von Komponenten mit bekannten Schwachstellen zählt zu den OWASP Top 10. Ohne Inventarisierung, Verwaltung und Sicherung der Open-Source-Komponenten, die in den Anwendungen enthalten sind, ist man für Angreifer leichte Beute.
* Mike Pittenger ist Vice President Security Strategy bei Black Duck Software und verfügt über 30 Jahre Erfahrung in Technik und Wirtschaft, mehr als 25 Jahre Führungserfahrung und 15 Jahre im Security-Bereich. Bei Black Duck ist er verantwortlich für die strategische Leitung von Sicherheitslösungen, einschließlich Produktausrichtung.
(ID:44694354)
:quality(80)/p7i.vogel.de/wcms/5e/a2/5ea28a6d6bb69ad3e1dd5a46c51fddd3/0108517763.jpeg "Synopsys hat den „Software Vulnerability Snapshot: The 10 Most Common Web Application Vulnerabilities“ veröffentlicht. (Bild: Synopsys)")
:quality(80)/p7i.vogel.de/wcms/60/b2/60b2935f4f0c084dd332f57319688199/0113134934.jpeg "Der Software Risk Manager von Synopsys soll mit verschiedenen Funktionen dabei helfen, Sicherheitsrisiken aufzudecken und zu priorisieren. (© Gorodenkoff - stock.adobe.com)")