70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen.

 

Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle in einer ihrer Open-Source-Bibliotheken aufweisen [1].

Open Source steht in der IT-Branche hoch im Trend. Das macht die Arbeit vieler Entwicklerteams effizienter, innovativer und schneller. Selbst Microsoft plant immer mehr Quellcode seiner Software frei verfügbar zu machen. In puncto Sicherheit bietet Open Source tatsächlich auch gewisse Vorteile: ist der Quellcode für alle einsehbar, können Schwachstellen wesentlich schneller und besser identifiziert und der Code optimiert werden. Aber Sicherheit in Open-Source-Software hat auch seine Schattenseiten. Die schiere Masse an Code in Open-Source-Bibliotheken führt dazu, dass fehlerhafte Open-Source-Bibliotheken leichter verbreitet werden und somit mehr Anwendungen, die diese Bibliotheken einsetzen, gefährdet sind.

Vor diesem Hintergrund hat Veracode seinen neuen »State of Software Security (SoSS): Open Source Edition«-Report veröffentlicht, für den die in 85.000 verschiedenen Anwendungen enthaltenden Open-Source-Bibliotheken untersucht wurden – eine Anzahl von über 351.000 Open-Source-Bibliotheken insgesamt. Nahezu alle modernen Anwendungen, einschließlich derer, die kommerziell verkauft werden, beinhalten Open-Source-Komponenten. Dabei kann ein einziger Fehler in einer Open-Source-Bibliothek alle Anwendungen, die auf diese Bibliothek zurückgreifen, beschädigen. »Open Source Software weist eine überraschende Vielzahl an Schwachstellen auf«, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode. »Die Angriffsfläche einer Anwendung ist weder auf ihren eigenen Code, noch auf den Code von den einbezogenen Bibliotheken beschränkt, da diese wiederum von anderen Bibliotheken abhängig sind. Entwickler führen also in der Realität weitaus mehr Code in ihre Anwendungen ein, als auf den ersten Blick vermutet. Solange sich Entwickler dessen aber bewusst sind, sind sie in der Lage Fehler schneller zu beheben und können das Risiko verringern.«

Die Forscher von Veracode kamen zu folgenden Ergebnissen:

Open-Sourc-Bibliotheken sind omnipräsent und bergen Risiken

  • Die am häufigsten verwendeten Bibliotheken sind in über 75 Prozent aller Anwendungen zu finden.
  • Viele fehlerhafte Bibliotheken (47 Prozent) landen auf indirektem Wege im Code – sprich nicht direkt vom Entwickler gezogen, sondern beruhend auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek. Die meisten durch fehlerhafte Bibliotheken entstandenen Schwachstellen in Anwendungen können aber bereits durch kleine Versions-Updates behoben werden.
  • Nicht alle Bibliotheken haben CVEs (»Common Vulnerabilities and Exposures«) – das bedeutet, dass Entwickler sich nicht auf CVEs verlassen können, um Schwachstellen in Bibliotheken zu erkennen und zu beheben. So beinhalten zum Beispiel über 61 Prozent aller fehlerhaften JavaScript-Bibliotheken Schwachstellen ohne entsprechende CVEs.

Die Programmiersprache macht einen Unterschied

  • Manche Sprachen neigen dazu häufiger transitive Abhängigkeiten einzuführen als andere. In über 80 Prozent der JavaScript-, Ruby- und PHP-Anwendungen führt die Mehrheit der Bibliotheken zu transitiven Abhängigkeiten.
  • Der Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code.
  • Von den OWASP-Top-Ten-Schwachstellen, stellen Fehler im Access Control mit 25 Prozent aller Schwachstellen die größte Menge dar. In Open-Source-Bibliotheken stellt Cross-Site-Scripting die häufigste Schwachstelle dar: sie wurde in 30 Prozent aller Bibliotheken gefunden. Weitere häufige Schwachstellen waren unsichere Deserialisierung, die in 23,5 Prozent aller Bibliotheken gefunden wurde und Broken Access Control mit 20,3 Prozent.

 

[1] Den kompletten »State of Software Security: Open Source Edition« Report finden Sie hier zum Download. Erfahren Sie außerdem mehr zu Veracodes Software Composition Analysis.

 

121 Artikel zu „Open Source Schwachstellen“

Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source

Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.

»Size Matters« – jedenfalls bei der Nutzung von Open Source in Unternehmen 

»Zuerst die gute Nachricht« heißt es einleitend im Open Source Monitor [1]. Fast 70 % der befragten Unternehmen in Deutschland setzen Open-Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn sich Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open-Source-Software einzusetzen. Drei Viertel der Firmen mit…

Ein Open-Source-Business-Modell gibt es nicht

Open-Source-Technologie entfaltet ihre Wirkung dann am besten, wenn sie Bestandteil von Strategien und Taktiken zur Unterstützung eines Kern-Business-Modells ist – und nicht umgekehrt. Open-Source-Business-Modelle sind in aller Munde, da mag der Titel dieses Artikels vielleicht etwas sonderbar anmuten, vor allem, weil der Artikel von jemandem stammt, dessen Job es ist, ein Ökosystem rund um ein…

5 Grundsätze sicherer Open-Source-Software

Kaum ein Softwareprojekt beginnt heute noch auf der grünen Wiese. Das können sich Entwickler und Unternehmen in Zeiten immer schnellerer Release-Zyklen nicht leisten. Um Zeit und Kosten zu sparen, entscheiden sie sich deshalb oft für Open-Source-Bibliotheken. Dabei sollte man aber bedenken, dass die Open-Source-Komponenten, die aus Millionen von bestehenden Bibliotheken entnommen werden, auch Schwachpunkte in…

Trotz WannaCry & Co. erhalten Open-Source-Komponenten keine angemessene Aufmerksamkeit

Studie zeigt: Weniger als 25 Prozent der Entwickler testen Komponenten bei jeder Veröffentlichung auf Schwachstellen. Laut einer von Studie von CA Veracode aktualisieren nur 52 Prozent der Entwickler ihre kommerziellen oder Open-Source-Komponenten, wenn eine neue Sicherheitslücke veröffentlicht wird. Dies verdeutlicht das mangelnde Sicherheitsbewusstsein vieler Unternehmen und setzt sie dem Risiko von Sicherheitslecks aus. Die Studie,…

Security Schwachstellenmanagement: Herstellerleistung zeigt große Spannbreite

Anwender bewerten Lösungen für das Vulnerability Management und deren Hersteller in einer aktuellen Studie. Während die Bewertungen der verschiedenen Kategorien auf Seiten der Lösung relativ eng beieinander liegen, unterscheidet sich die Herstellerleistung häufig sehr deutlich. Die Studie ist Teil des Professional User Ratings: Security Solutions (PUR-S) der techconsult, das Orientierung auf dem Markt der IT-Sicherheitslösungen…

Sicherheitsrisiko Security-Software: Angreifbar durch Open-Source-Komponenten

Vulnerability Update listet 11 Sicherheitsprogramme; viele der Anwendungen enthalten Open-Source-Komponenten sowie deren Schwachstellen. Ein Anbieter von Lösungen für Softwarelizenzierung, Compliance, Security und Installation für Softwarehersteller und Unternehmen, hat ein neues Vulnerability Update [1] veröffentlicht. Der Report nennt die 20 Produkte mit den meisten Schwachstellen im Zeitraum von August bis Oktober 2016. Auf der Liste findet…

Report: Open-Source-Komponenten erhöhen Risiken drastisch

Die Codes werden zwar von Jahr zu Jahr besser, aber die Risiken beim Einsatz von Open-Source- und Third-Party-Komponenten steigen dennoch rasant. Die Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit (»State of Software Security«/SoSS) hervor, den Veracode…

Gefährliche Trittbrettfahrer: Missbrauch von Open-Source-Testsoftware

Cyberkriminelle nutzen das Penetrations-Tool BeEF für gezielte Cyberspionage. Die Experten von Kaspersky Lab haben einen neuen Cyberspionagetrend ausgemacht: Kriminelle nutzen statt spezialisierter eigener oder zugekaufter Malware zunehmend freie Open-Source-Software, die eigentlich für die seriöse Durchführung von Sicherheitstests entwickelt wurde. Kaspersky Lab deckte jüngst mehrere Cyberspionage-Kampagnen [1] auf, die nach diesem Muster arbeiten. Besonders im Fokus…

Dynamische Bedrohungen greifen »übersehene Schwachstellen« an

Die Angriffsfläche von Unternehmen wird durch veraltete Software, ungeprüften Code oder ungenutzte Hardware immer größer. Dabei nutzen die Angreifer oft bekannte, aber nicht behobene Schwachstellen in Alt-Anwendungen und -Infrastrukturen aus, die in Vergessenheit geraten sind. Die Unternehmen konzentrieren sich hingegen meist auf häufig genutzte Systeme. Der Cisco 2014 Midyear Security Report untersucht Schwachstellen, die von…

Cloud-native Anwendungssicherheit: Viele sichern die Tür, lassen aber das Fenster offen

Wenn Unternehmen den Lebenszyklus bei der Entwicklung ihrer Anwendungen optimieren und beschleunigen und diese dann in der Cloud bereitstellen möchten, wird die Sicherheit zu einer größeren Herausforderung. Cloud-native Anwendungen sind komplexer und weisen mehr Abhängigkeiten auf, weshalb sie auch schwieriger zu sichern sind. Traditionelle Ansätze drehen sich im Kreis: Es wird lediglich reagiert, um die…

Rollen der Software-Entwicklungsteams ändern sich

Veränderte Zuständigkeiten: Fast 70 % der Operations-Teams bestätigen, dass Entwickler ihre eigenen Umgebungen bereitstellen können.   Die aktuelle DevSecOps-Umfrage von GitLab zeigt, wie sich die Rollen in Software-Entwicklungsteams verändert haben, seit immer mehr Teams DevOps nutzen [1]. Die Umfrage unter mehr als 3650 Teilnehmern aus 21 Ländern weltweit ergab, dass der zunehmende Einsatz von DevOps…

Auf dem Weg zu mehr Cyberresilienz: Was machen resiliente Unternehmen anders?

Erst 36 Prozent der KRITIS-Unternehmen in den fünf größten Volkswirtschaften der Welt haben ein hohes Level an Cyberresilienz erreicht. Das ist das Ergebnis einer Studie von Greenbone Networks. Was zeichnet diese Unternehmen aus? Und was können wir von ihnen lernen? Cyberresilienz ist die Fähigkeit, trotz eines erfolgreichen Cyberangriffs die Produktivität aufrechtzuerhalten und die Geschäftsziele zu…

Digitale Verwaltung scheitert ohne moderne IT-Infrastruktur

In Zeiten von Home Office und Kontaktbeschränkungen ist eine digitale Verwaltung wichtiger denn je. Damit diese gelingt, müssen die technologischen Voraussetzungen stimmen. Ob national oder international: Das Coronavirus treibt derzeit die Menschen um. Als sich Ende Februar verunsicherte Bürger über den neuartigen Virus auf der Website des Robert-Koch-Instituts (RKI) informieren wollten, war dies nur eingeschränkt…

Datenstrategie: Voraussetzungen für digitale Gesundheitsinnovationen »Made in Germany« schaffen

In seiner Stellungnahme äußert sich der Bundesverband Gesundheits-IT (bvitg) zum derzeitigen Entwurf der Datenstrategie der Bundesregierung. Darin würdigt der Verband die Strategie als wichtige Wegmarke, verweist aber gleichzeitig auf den weiterhin großen Regelungsbedarf bei der Verfügbarkeit und Verarbeitung von Gesundheitsdaten.   Um am Standort Deutschland die Verfügbarkeit und -bereitstellung von Daten zu erhöhen und datengetriebene…

SBBS besser als Corona-Bonds

Abhängigkeit von Banken und EU-Staaten ist nach wie vor sehr hoch. Banken haben noch immer einen Anreiz, vor allem Staatsanleihen ihres Heimatlandes zu kaufen. Der sogenannte Home Bias hat sich daher in vielen EU-Ländern kaum zurückgebildet. Sollten Banken verpflichtet werden, Staatstitel mit Eigenkapital zu hinterlegen, würde sich Problem der geringen Streuung in den Anleiheportfolios sogar…

Neun Erfolgsfaktoren für die Low-Code-Implementierung

Für erfolgreiches Low-Coding braucht es nicht nur die richtige Technologie, sondern auch eine tragfähige Strategie. Pegasystems erläutert, worauf es dabei ankommt. Den Mangel an Entwicklern abfedern, die Zeit von einer Idee bis zu ihrer konkreten Umsetzung in Form von Software deutlich verkürzen, die Softwareentwicklung demokratisieren: Low-Code-Plattformen, die zur Erstellung von Anwendungen wenig bis gar keine…

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Cybersicherheit jenseits der Technologie: 3 neue Bedrohungen

Wir tendieren dazu, bei Cybersicherheit zunächst immer in technischen Dimensionen zu denken. Es geht um neue Ransomware-Attacken mit noch gefährlicheren Algorithmen, Viren, Würmern und Phishing. Das sind aber letztlich nur die Speerspitzen des Angriffs. Cyberkriminalität ist heute ein Massenphänomen, das sich auf breite Teile der Gesellschaft auswirkt. Betrachtet man nur die technische Seite, kann man…

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…