:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Was Analyse-Tools entgeht Schwachstellen in Open Source Code aufspüren
Statische und dynamische Code-Analyse-Tools helfen dabei, allgemeine Programmierfehler und damit potenzielle Schwachstellen zu identifizieren. In Open Source-Komponenten finden sich aber alltägliche Bugs, die sich auf diese Weise nicht so einfach aufspüren lassen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Unternehmen sind in erster Linie an der Sicherheit ihrer Software interessiert. Begriffe und Kategorien wie statische Analyse, dynamische Analyse, Penetrationstest und Schwachstellenanalyse sind eher verwirrend. Hier ein Überblick der gängigsten Sicherheitstests und ihre wichtigsten Merkmale:
Statische Analyse
Statische Analyse-Tools analysieren den Source Code oder kompilierte Applikationen, um Schwachstellen, im von internen Entwicklern geschriebenen Code, aufzudecken. Dazu erstellen sie entweder einen abstrakten Syntaxbaum (AST) oder ein Modell der Anwendung, das beispielsweise Ablaufsteuerung, Datenfluss oder Variablen abbildet. Ist der AST einmal fertiggestellt, kann er anhand vordefinierter Regeln abgefragt werden und so allgemeine Sicherheitsprobleme aufspüren.
Die meisten statischen Tests können nur in vollständigen Anwendungen und unter Berücksichtigung aller Abhängigkeiten eine Analyse durchführen. Deshalb und aufgrund ihrer Komplexität werden statische Tests erst gegen Ende des Entwicklungsprozess angewandt.
Tools zur statischen Analyse eignen sich gut, um die häufigsten Schwachstellen wie SQL-Injections, Cross-Site-Scripting und Pufferüberlauf zu identifizieren. Handelt es sich allerdings um Themen wie Authentifizierung oder die Ausweitung von Rechten, sind sie nur bedingt geeignet.
Dynamische Analyse
Anders als beim statischen Test prüft die dynamische Analyse eine Applikation während ihrer Laufzeit. Dynamische Analyse-Tools können eine Applikation erkennen und traversieren, um Eingabeschnittstellen für das sogenannte Fuzzing zu identifizieren.
Fuzz-Testing wird in Software-Entwicklungs-Projekten normalerweise im Rahmen eines Black-Box-Tests durchgeführt. Dabei werden automatisch generierte, zufällige Daten über die Eingabeschnittstellen zur Verarbeitung eingespeist (z. B. Öffnen einer Datei, deren Datenformat das Programm unterstützt).
Verursacht das Programm daraufhin ein reproduzierbares Problem (z. B. Absturz), lassen sich Ursachen erforschen und Sicherheitslücken schließen. Beispiele hierfür sind SQL-Befehle, lange Strings, negative Zahlen und unerwartete Daten.
Dynamische Tools benötigen eine laufende Anwendung in einer Testumgebung, in der Regel in Kombination mit einer Datenbank für Datenabfragen. Sie kommen also erst sehr spät im Entwicklungsprozess zum Einsatz und sind vor allem nützlich, wenn es um die Identifizierung von Fehlern bei der Eingabevalidierung und um eine Speicherzuordnung geht. Da sie eine laufende Anwendung testen, ist es allerdings schwierig, sicherheitsrelevante Fehler bis zum Quellcode zurückzuverfolgen und zu beheben.
Schwachstellenanalyse
Tools zur Schwachstellenanalyse, auch als Penetrationstest bezeichnet, ähneln dynamischen Analyse-Tools. Auch sie kommen in laufenden Anwendungen zum Einsatz, suchen nach Sicherheitsrisiken und generieren zufällige, unerwartete Daten, um den späteren Einsatz zu simulieren.
Dazu verfügen Schwachstellenanalyse-Tools oftmals über Scripts oder Regeln, mit denen bekannte Sicherheitslücken ausgenutzt werden können. Diese Werkzeuge helfen den Entwicklern dabei, mögliche Angriffsmuster nachzubilden. Angewendet wird die Schwachstellenanalyse für gewöhnlich bei Produktionssystemen, um nicht gepatchte Netzwerkanwendungen, Betriebssysteme und Applikationen zu identifizieren.
Eine Universallösung, um alle verschiedenen Sicherheitsrisiken aufzudecken, gibt es nicht. Manche Bugs sind auf das Software-Design zurückzuführen, z. B. bei der Speicherung von Schlüsseln und Berechtigungen. Solche Schwachstellen lassen sich auch nicht von automatisierten Technologien aufspüren. Welche Lösung sich am besten eignet, hängt immer von der Art der Schwachstelle ab. Deswegen empfiehlt sich die Verwendung verschiedener Testmethoden, deren Auswahl sich sowohl an der Bedeutung der getesteten Anwendung als auch am Risikoprofil des Unternehmens ausrichtet.
Gängige Fehler in Open-Source-Komponenten
In Bezug auf Sicherheit bietet Open Source Software einige Vorteile. Sie kann kostenlos heruntergeladen, überprüft und verändert werden. Übliche Security-Bugs lassen sich oft in einer frühen Phase eines Projekts erkennen und beheben, ganz nach dem Motto: „Given enough eyeballs, all bugs are shallow“ (Je mehr Augen draufschauen, desto mehr Fehler werden entdeckt).
Dieser als Linus Law bekannte Ansatz hilft Fehler zu vermeiden, die zu einer falschen Eingabevalidierung oder zu anderen weit verbreiteten Problemen führen. Der grundsätzliche Gedanke dahinter: Da der Quellcode einer Komponente für jedermann frei zugänglich ist, sind die Codes umfassend geprüft und die meisten Sicherheitsprobleme bekannt.
Dennoch gibt es Sicherheitsrisiken, die ohne das Wissen und der Erfahrung eines Sicherheitsexperten nicht identifiziert werden können. Diese Bugs umfassen unter anderem zeitliches Fehlverhalten (race condition) und Logikfehler in Sicherheit-Subsystemen. Sie erfordern einen Experten, der den Source Code prüft, Theorien über potentielle Schwachstellen erstellt und deren Anfälligkeit durch Versuche beweist oder widerlegt.
Diese Art von Sicherheitsrisiken findet sich am häufigsten in Open Source-Projekten. Nutzen Entwickler ältere Code-Bibliotheken mit bereits bekannten Schwachstellen, nimmt das Risiko unerkannter Open Source Sicherheitslücken noch deutlich zu. Dieses Problem ist mittlerweile so weit verbreitet, dass das Open Web Application Security Project (OWASP) die „Nutzung von Komponenten mit bekannten Sicherheitslücken“ in die Top Ten-Liste der Schwachstellen in Webapplikationen aufgenommen hat.
Eine einfachere Lösung
Code-Analyse und die Ausführung von Sicherheitsregeln beanspruchen eine sehr hohe Speicher- und Rechenleistung. Wesentlich effektiver ist es, Open-Source-spezifische Richtlinien zu entwickeln und durchzusetzen.
Dazu muss ein Unternehmen zunächst festlegen, welche Aspekte einer Open-Source-Komponente wichtig sind. Steht Funktionalität an erster Stelle, folgen als weitere Kriterien z. B. bekannte Sicherheitsrisiken (bzw. Vorgeschichte von Schwachstellen), Programmiersprachen, Unterstützung der Open Source Community und die Komplexität des Codes.
Der nächste Schritt ist die Festlegungen und Einhaltung der Richtlinien. Tools, die den Source Code oder Binärprogramme scannen, vereinfachen diesen Prozess und verschaffen Unternehmen einen Überblick, welche Arten von Open Source wie häufig genutzt werden, und welche Risiken diese Nutzung birgt. Zudem bauen sie ein zentrales Verzeichnis sämtlicher verwendeter Open Source Software im Unternehmen auf.
Kontinuierliches Monitoring
Diese Sichtbarkeit von Open Source Software bietet sowohl kurz- als auch langfristige Vorteile. So werden die Komponenten sofort bei Identifizierung in eine Datenbank bekannter Sicherheitslücken aufgenommen – und zwar für jede Version sämtlicher Komponenten. Entwicklerteams werden frühzeitig auf entdeckte Schwachstellen aufmerksam gemacht und können in der Softwareentwicklung rechtzeitig Fehler beheben und Kosten einsparen.
Langfristig gesehen lassen sich Sicherheitsprobleme schneller beheben, da neue Schwachstellen permanent sichtbar bleiben und für Tests von internen Anwendungen genutzt werden können. In der Regel sind die Sicherheitstests mit dem Release einer Anwendung abgeschlossen.
Ein Open Source Monitoring Service hingegen stellt während der gesamten Laufzeit der Anwendung sicherheitsrelevante Informationen zur Verfügung. Ein zusätzlicher Scan oder eine Analyse ist nicht nötig. Findet sich in irgendeinem Open-Source-Projekt eine neue Schwachstelle, werden die betroffenen Unternehmen sofort informiert. Die unsicheren Komponenten lassen sich damit zu jeder Applikation im Unternehmen zurückverfolgen, in der sie verwendet werden.
Open Source sorgt für eine schnellere Time-to-Market, höhere Sicherheit und ist sofort einsetzbar. Entscheidend ist ein Überblick aller genutzten Komponenten sowie deren Risiken in Bezug auf Lizenzierung, Sicherheit, und Betrieb. Dies gilt nicht nur am Anfang des Entwicklungsprozesses, sondern auch über die gesamte Lebensdauer der Anwendung hinweg.
* Mike Pittenger ist Vice President of Security Strategy bei Black Duck Software und seit über 30 Jahren erfolgreich in Technologieunternehmen tätig. Er blickt auf über 25 Jahre Erfahrung im Management sowie 15 Jahre Erfahrung im Bereich Security zurück. Bei Black Duck ist Pittenger verantwortlich für die strategische Führung der Security-Lösungen, u. a. in der Produktentwicklung und strategischen Partnerschaften.
(ID:44406013)
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/5e/d6/5ed6295a936c38aefce9da4512c34692/0113337647.jpeg "Software-Stücklisten helfen dabei, die verwendeten Open-Source- und Drittanbieter-Komponenten im Blick zu behalten. (© Song_about_summer - stock.adobe.com)")