5 Grundsätze sicherer Open-Source-Software

Illustration: Absmeier, TheDigitalArtist

Kaum ein Softwareprojekt beginnt heute noch auf der grünen Wiese. Das können sich Entwickler und Unternehmen in Zeiten immer schnellerer Release-Zyklen nicht leisten. Um Zeit und Kosten zu sparen, entscheiden sie sich deshalb oft für Open-Source-Bibliotheken. Dabei sollte man aber bedenken, dass die Open-Source-Komponenten, die aus Millionen von bestehenden Bibliotheken entnommen werden, auch Schwachpunkte in die eigene Software integrieren könnten. Der »State of Software-Security Vol. 9«-Report von Veracode zeigte, dass die meisten Anwendungen immer noch etliche fehlerhafte Komponenten enthalten, wobei 77 Prozent der Java-Anwendungen mindestens eine Schwachstelle in einer Komponente enthielten. Auf quelloffene Software zu verzichten, ist aber auch keine Lösung, gilt sie doch als massiver Wachstumstreiber, die innovative Softwareentwicklung ermöglicht.

Unternehmen stehen vor der Herausforderung, die Vorteile von Open Source zu nutzen, ohne das Risiko einzugehen Schwachstellen zu importieren. Jedes Unternehmen, dessen Entwickler Open-Source-Software einsetzt, kann mit verschiedenen Maßnahmen die Entstehung von Schwachstellen minimieren. Folgende fünf Punkte haben sich als Maßnahmen zur Absicherung von Open-Source-Software bewährt:

  1. Klare Policies definieren

Fest umschriebene Regeln sind ein integraler Bestandteil einer Sicherheitsstrategie von Open-Source-Lösungen. Dadurch wird verhindert, dass Entwickler einfach auf beliebige Open-Source-Bausteine zugreifen. Denn ein solches, unkontrolliertes Vorgehen setzt Unternehmen einem großen Risiko aus. Stattdessen müssen Richtlinien ausgearbeitet werden, die klar festsetzen, welche Tools und Komponenten aus der Open-Source-Welt eingesetzt werden dürfen.

  1. Zentrales Patch-Management einführen

Nicht nur bei Open-Source-Lösungen, sondern auch bei allen anderen Softwarepaketen ist es zu empfehlen, regelmäßig Patches zu installieren. Hierbei ist Geschwindigkeit entscheidend. Es gilt, die Schwachstellen zu schließen, ehe Cyberkriminelle sie ausnutzen können. Sobald Schwachstellen öffentlich werden, versuchen Hacker das auszunutzen, um in Unternehmensnetzwerke einzudringen. Unternehmen müssen dem zuvorkommen. Ein zentrales Patch-Management hilft bei der Umsetzung. Eine besonders perfide Methode ist aber, dass Kriminelle nicht mehr ganze Anwendungen angreifen, sondern ihre Aktivitäten gezielt auf Open-Source-Komponenten fokussieren, die eine Schwachstelle beinhalten.

  1. Software-Repositories kontrollieren

Entwickler brauchen für ihre Arbeit zwingend Zugang zu Open-Source-Bibliotheken in nativen Umgebungen. Aus Gründen der Sicherheit ist es allerdings manchmal geboten, den Zugriff auf Repositories zu begrenzen. Das kann etwa in Form eines Cache-Speichers erfolgen, der alle bekannten, geprüften und freigegebenen Softwarekomponenten enthält. Eine andere Methode wäre, mittels einer Firewall den Zugriff auf bestimmte unerwünschte Software zu verhindern.

  1. Softwarelieferketten überprüfen

Unternehmen haben heute meist neben diverser Standardsoftware auch Programmpakete von Drittanbietern im Gebrauch. Dies führt dazu, dass neben bekannten Sicherheitslücken auch Schwachstellen Einzug ins Firmennetzwerk erhalten, die selbst den Security-Spezialisten nicht bekannt sind. Dem kann man nur mit regelmäßigen Sicherheitstests entgegenhalten. Anwendungen sollten über ihren gesamten Lebenszyklus hinweg aktiv gemanagt und überwacht werden. Hier empfehlen sich Tools für statische Code-Analysen und Werkzeuge für Software Composition Analysis (SCA). Durch Tests zur Anwendungssicherheit erhalten Entwickler- und Sicherheitsteams einen detaillierten Überblick über bestehende Risiken und entsprechende Fehlerbehebung.

  1. Sicherheit proaktiv angehen

Vor allem wenn es um die Sicherheit geht, heißt heute Stillstand Rückschritt. Daher sollten sich Unternehmen niemals mit dem Status Quo zufriedengeben und regelmäßig Risikobewertungen von Open-Source-Software und anderen Programmen durchführen. Ebenso muss es einen gemeinsamen Plan von Entwicklern und IT-Sicherheitsspezialisten geben, wie sich entdeckte Schwachstellen beseitigen lassen. Sicherheitsabteilungen müssen außerdem die Tools der Entwickler kennen und die beiden Teams müssen eng zusammenarbeiten und sich ständig austauschen. Dieses an Beliebtheit gewinnende Modell wird oft als DevSecOps bezeichnet, da es die Zusammenarbeit von Sicherheits- und Entwicklerteams effizienter gestaltet und Schwachstellen dadurch schneller finden und beheben kann.

 

179 search results for „Security Open Source“

Sicherheitsrisiko Security-Software: Angreifbar durch Open-Source-Komponenten

Vulnerability Update listet 11 Sicherheitsprogramme; viele der Anwendungen enthalten Open-Source-Komponenten sowie deren Schwachstellen. Ein Anbieter von Lösungen für Softwarelizenzierung, Compliance, Security und Installation für Softwarehersteller und Unternehmen, hat ein neues Vulnerability Update [1] veröffentlicht. Der Report nennt die 20 Produkte mit den meisten Schwachstellen im Zeitraum von August bis Oktober 2016. Auf der Liste findet…

Einstiegstipps: Wie man mit Open-Source-Projekten beginnt

Es gibt unzählige Gründe, warum es sich lohnt, an Open-Source-Projekten mitzuwirken, vom beruflichen Aufstieg bis zur Unterstützung einer Community. Man muss kein Experte sein, um ein Open-Source-Projekt zu unterstützen, und nicht einmal Code schreiben können, um einen Beitrag zu leisten. Die Möglichkeiten sind vielfältig und viele Communitys, wie Rubrik Build, akzeptieren Code- und Nicht-Code-Beiträge. Rubrik…

In 5 Schritten zum Open Source Software Defined Storage

Die Anforderungen für Speichersysteme sind in den letzten Jahren immer weiter gestiegen, Agilität, Flexibilität und die schnelle Bereitstellung von Ressourcen sind in einer bi-modalen IT die großen Herausforderungen. Wir haben heute mit mobilen und IoT-Geräten weitaus mehr Endpunkte, an denen Daten generiert werden, als noch vor einigen Jahren denkbar gewesen wäre. Besonders Videoinhalte verbreiten sich…

Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit

Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…

Cloud und Virtualisierung: Datenverschlüsselung bleibt fundamentaler Bestandteil der IT-Security

»Die Wolke« ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu.…

Master Data Management per Open-Source-Plattform: Ein Unternehmen, eine Datenplattform

  Auf dem Weg zur Digitalisierung stehen Unternehmen auch vor der Aufgabe, ihre Stammdaten effizienter zu organisieren. Dafür braucht es ein unternehmensübergreifendes Stammdaten-System, in dem alle Daten in hoher Qualität, einschließlich ihrer Relationen untereinander, hinterlegt und abgerufen werden können. Für die technische Umsetzung bieten sich Open-Source-Plattformen als zukunftsfähige und kostengünstige Lösung an.   Daten werden…

Nur wer seine IT-Systeme und deren Schutzbedarf kennt, kann IT-Security richtig leben

Die Sicherheit der IT-Systeme wird in Unternehmen nicht immer so ernst genommen, wie es sein sollte. Dabei helfen technische und organisatorische Maßnahmen sowie ein IT-Sicherheitskonzept, Kosten zu sparen. Denn die fallen in aller Regel geringer aus als der Schaden, der durch Cyberattacken, Datendiebstahl oder -verlust entsteht. »Das Problem ist, dass der Begriff Informationssicherheit für Viele…

State of Software Security Report: Europäische Unternehmen müssen in 2019 nachrüsten

Organisationen in Europa hinken den Benchmarks für die Behebung offener Schwachstellen weit hinterher. Unternehmen mit DevSecOps-Programmen beheben Fehler mehr als 11,5-mal schneller.   Veracodes Bericht zum »State of Software Security« (SoSS) enthält vielzählige Anzeichen dafür, dass DevSecOps mehr Sicherheit und Effizienz für Unternehmen bieten. Dafür besteht in Europa allerdings noch einiges an Nachholbedarf, da die…

Sichere APIs für Open-Banking-Partnerschaften: Referenzarchitektur für Cybersicherheit

Wie können Finanzinstitute und FinTechs neue Technologien am besten einführen und gleichzeitig den Vorgaben und Gesetzen der Europäischen Union (EU) entsprechen?   In seinem ersten Beitrag beschreibt der Autor, Open Banking-Berater und Trainer, Jon Scheele welche Ansätze man braucht um Cybersicherheit in Partnerschaften zwischen Finanzinstituten und FinTechs zu integrieren. Sein zweiter Artikel beleuchtet die Auswirkungen der…

Lediglich 65 Prozent der Unternehmen haben einen Cyber-Security-Spezialisten

Obwohl 95 Prozent der CIOs in den kommenden drei Jahren einen Anstieg an Cyberbedrohungen erwarten, haben derzeit nur 65 Prozent ihrer Unternehmen einen Cyber-Security-Experten – zu diesem Ergebnis kommt eine aktuelle Umfrage des Research- und Beratungsunternehmens Gartner. Die Umfrage zeigt auch, dass Unternehmen, die sich digitalisieren, nach wie vor mit der Suche nach qualifiziertem Personal…

Erfolgsfaktoren für Security-Manager

Die gestiegenen Anforderungen haben eine lähmende Wirkung auf Security-Manager. Wie können Security-Manager wieder handlungsfähig werden? Relevant sind hierbei insbesondere folgende Fragen: Was besitzt Priorität? Auf welche Herausforderung könnte man stoßen? Was ist machbar?   »Schon wenige Key-Practices können dazu beitragen, Herausforderungen zu meistern,« erklärt Katell Thielmann, Research Vice President bei Gartner. »Zuerst ist es wichtig,…

Trotz WannaCry & Co. erhalten Open-Source-Komponenten keine angemessene Aufmerksamkeit

Studie zeigt: Weniger als 25 Prozent der Entwickler testen Komponenten bei jeder Veröffentlichung auf Schwachstellen. Laut einer von Studie von CA Veracode aktualisieren nur 52 Prozent der Entwickler ihre kommerziellen oder Open-Source-Komponenten, wenn eine neue Sicherheitslücke veröffentlicht wird. Dies verdeutlicht das mangelnde Sicherheitsbewusstsein vieler Unternehmen und setzt sie dem Risiko von Sicherheitslecks aus. Die Studie,…