BOM: Open-Source-Risiken (immer) im Auge behalten

Es ist kaum anzunehmen, dass Oberstufenschüler ihrem Berufsberater »Chief Inventory Officer« als ihren persönlichen Traumberuf vorschlagen – falls es diesen Titel überhaupt gibt. Er klingt auf jeden Fall kaum nach Glamour, Prestige oder aufregender Tätigkeit – vielmehr nach eintöniger Arbeit wie in noch nicht komplett vergangenen Tagen: mit dem Klemmbrett im Warenlager.

 

Dennoch ist Inventarisierung in der Realität mindestens so wichtig wie die scheinbar aufregenderen Alternativen. Vielleicht sogar noch wichtiger, wenn es um Softwarekomponenten geht, die für die Entwicklung und den Betrieb von Anwendungen, Netzwerken und Systemen verwendet werden. Insbesondere, wenn es sich dabei um Komponenten von Open-Source-Software handelt. Open Source macht heutzutage den Großteil all dessen aus, was mittels Software produziert oder betrieben wird. Behält man diese Bausteine nicht konsequent im Auge, haben die damit verbundenen Risiken potenziell schwerwiegende Folgen.

 

Zum Glück muss dazu heute niemand mehr Zehntausende von Softwarekomponenten manuell durchkämmen. Die Software Composition Analysis (SCA) ist ein Werkzeug, das diese Aufgabe automatisiert und dabei hilft, Software vollständig zu inventarisieren und entsprechende Stücklisten (Bill of Materials, kurz BOM) zu führen. Sinn und Zweck des Ganzen ist es, die Vorteile von Open Source zu nutzen, aber gleichzeitig die damit verbundenen Risiken zu senken. Open Source ist per se nicht mehr oder weniger risikoreich als proprietäre oder kommerzielle Software. In vielerlei Hinsicht ist sie sogar besser, und sie wird aus guten Gründen immer beliebter. Sie steht kostenlos zur Verfügung, und sie ist ein anpassungsfähiger Baustein für die Bedürfnisse von Anwendungsentwicklern. Und Open Source ist einer der größten Innovationsmotoren schlechthin.

 

Daher ist es wenig überraschend, dass der jüngst veröffentlichte Bericht »Open Source Security and Risk Analysis (OSSRA)« diese Einschätzung bestätigt. Bei der Überprüfung von über 1.250 Codebasen in 17 verschiedenen Branchen war Open Source das dominierende Element. Nicht nur, dass praktisch 100 Prozent der Codebasen Open-Source-Komponenten enthalten, auch durchschnittlich 70 Prozent des Codes war Open Source. Das ist fast eine Verdopplung der 36 Prozent aus dem ersten OSSRA-Bericht. Ein weiterer Nachweis für diesen Anstieg: 2019 waren im Durchschnitt 445 Open-Source-Komponenten pro Codebasis vorhanden, ein Anstieg von fast 50 Prozent gegenüber 298 im Vorjahr.

 

Eine Vielzahl von Branchen ist auf Open Source angewiesen, von Unternehmenssoftware bis hin zu Virtual Reality, die Unterhaltungs- und Medienbranche, aber auch die Internet- und Software-Infrastruktur, Einzelhandel und E-Commerce und das Internet der Dinge (IoT) basieren auf Open Source ebenso wie Finanzdienstleistungen, Big Data, Machine Learning, der Energiesektor und nicht zuletzt Cybersicherheit und Marketing-Technologien. Im Umkehrschluss gehen die Chancen gegen Null, in einem durchschnittlichen Unternehmen keinerlei Open-Source-Software zu finden. Eher im Gegenteil. Wahrscheinlich kommen in einem Unternehmen deutlich mehr Open-Source-Komponenten zum Einsatz als den Verantwortlichen bewusst ist. Vor allem mehr als man manuell nachhalten kann. Doch gerade hier ist es eminent wichtig den Überblick zu behalten. Denn die Tatsache, dass Open Source kostenlos ist, bedeutet keinesfalls, dass ihre Verwendung keine Risiken birgt oder nicht mit rechtlichen Verpflichtungen verbunden ist.

 

Im Wesentlichen gibt es zwei Risiken. Das eine betrifft die Sicherheit als solche, das andere die mit Open Source verbundenen Lizenzverpflichtungen. Beide lassen sich mithilfe einer Bill of Materials (BOM) erfassen und reduzieren. Eine BOM verzeichnet alle verwendeten Komponenten, inklusive der exakten Version und Bezugsquelle für jedes verwendete oder in Entwicklung befindliche Projekt. In Sachen Sicherheit ist Open Source nicht mehr oder weniger sicher als proprietäre (also nicht offener) Code. Es gibt zwangsläufig Schwachstellen, die gepatcht werden müssen. Wenn Apps oder Netzwerke aufgrund von Open-Source-Schwachstellen, von denen ein Unternehmen nichts weiß, gehackt werden, sind die Auswirkungen weitreichend: gestohlenes geistiges Eigentum (Intellectual Property, IP) oder personenbezogene Daten (PII, Personally Identifiable Information), Ransomware-Angriffe, Rufschädigung, haftungsrechtliche Folgen und nicht zuletzt juristische Konsequenzen samt Strafzahlungen.

 

Open-Source-Software zu patchen ist nicht schwierig, erfordert aber ein gewisses Maß an Sorgfalt. Es ist meist nicht ganz so simpel wie die automatischen Updates, mittels derer bei kommerzieller Software die meisten Anbieter Sicherheitsupdates automatisch an die Benutzer »pushen«. Zwar werden Open-Source-Patches ebenfalls zur Verfügung gestellt, aber die Benutzer sind selbst dafür verantwortlich, diese im Auge zu behalten und gegebenenfalls auf dem Quell-Repository herunterzuladen und einzupflegen. Wer das nicht tut, wird schlimmstenfalls zum nächsten Equifax. Das Unternehmen entdeckte am 29. Juli 2017 eine Datenschutzverletzung, bei der Sozialversicherungsnummern und andere personenbezogene Daten von mehr als 147 Millionen Kunden offengelegt wurden. Der Grund: Equifax hatte versäumt einen Patch für Apache Struts, ein beliebtes Open-Source-Framework für Web-Anwendungen, einzuspielen. Einen Patch, der bereits seit Monaten verfügbar war.

 

Zumindest dieses spezifische Problem scheint behoben zu sein. Der diesjährige OSSRA-Bericht bestätigt, dass keine der 2019 geprüften Codebasen eine ungepatchte Version von Apache Struts enthält. Aber es existieren weitere Risiken: 82 Prozent der Open-Source-Komponenten in den geprüften Codebasen sind veraltet und 75 Prozent enthalten mindestens eine bekannte (also bereits veröffentlichte) Schwachstelle. Das Durchschnittsalter der gefundenen Schwachstellen betrug etwas weniger als 4,5 Jahre. Der Prozentsatz der Schwachstellen, die sogar älter als 10 Jahre waren, beläuft sich immerhin noch auf 19 Prozent.

 

Fazit

Inventarisierung ist entscheidend, wenn man Risiken tatsächlich senken will. Software-Experten predigen es seit Jahren: man kann nichts patchen, von dem man nicht weiß, dass es existiert. Das zweite Risiko betrifft die rechtliche Seite. Open-Source-Code ist zwar kostenlos, bindet den Nutzer aber an Lizensierungsbedingungen, die zum Risiko werden, sollte man sie nicht beachten. Und es gibt viele unterschiedliche Arten solcher Lizenzbestimmungen. Der OSSRA-Bericht hat herausgefunden, dass die 20 beliebtesten Open-Source-Komponenten etwa 98 Prozent des verwendeten Open-Source-Codes abdecken. Die Black Duck Knowlege Base enthält über 2.500 Open-Source-Lizenzen.

 

Compliance-Anforderungen einzuhalten, ist nicht unbedingt schwierig. Aber selbst ausgesprochen benutzerfreundliche Open-Source-Lizenzen sind mit Verpflichtungen verbunden und sehen mindestens eine korrekte Wiedergabe der Urheberrechte vor. Auch potenzielle Lizenzkonflikte können zum Problem werden. Zum Beispiel, wenn man die Software in einer Art und Weise verwendet, die nicht mit den Lizenzbestimmungen in Einklang zu bringen ist. Im Extremfall verliert ein Unternehmen das Recht auf die Nutzung der Software oder die Firma findet sich in einem Rechtsstreit wieder.

 

Selbst wenn Open-Source-Komponenten keine erkennbaren Lizenzbestimmungen enthalten, ist man nicht zwangsläufig juristisch auf der sicheren Seite. Keine erkennbaren Lizenzbestimmungen bedeutet einfach, dass ein Unternehmen den betreffenden Code nicht verwenden, verändern oder weitergeben darf, da ihm kreative Arbeit zugrunde liegt, die ihrerseits standardmäßig dem ausschließlichen Urheberrecht unterliegt. Eine Lizenz ist im Kern nichts anderes als eine Nutzungsberechtigung. Inventarisierung ist also an dieser Stelle wichtig. Ohne umfassende BOM ist ein Unternehmen blind gegenüber einer Reihe von zum Teil schwerwiegenden Risiken. SCA-Werkzeuge sollten im Rahmen der Softwareentwicklung obligatorisch sein. Sie helfen nicht nur dabei, Open-Source-Komponenten in einer Codebasis zu finden, sondern erkennen auch die verwendete Version und bekannte Schwachstellen dieser Komponenten. Zusätzlich werden die Auflagen aufgeführt, die man gemäß der jeweiligen Lizenzbestimmungen erfüllen muss. Dies ist während des gesamten Software-Entwicklungszyklus (Software Development Lifecycle, SDLC) gewährleistet.

 

Weder Experten noch Tools machen eine Software unverwundbar. Aber ein SCA-Werkzeug kann dazu beitragen, diese Risiken zu kontrollieren, damit Unternehmen sich auf ihre eigentliche Kerntätigkeit fokussieren können.

Gunnar Braun, Technical Account Manager bei Synopsys

Gunnar Braun ist Technical Account Manager bei Synopsys und unterstützt große Unternehmen bei der Erstellung von sicherer Software. Er beschäftigt sich seit 20 Jahren mit Werkzeugen für die Softwareentwicklung und hat sich von Compilerbau und Simulation von eingebetteten Systemen bis hin zu Webanwendungen »hochgearbeitet«. Seit 4 Jahren konzentriert er sich auf den Bereich Softwaresicherheit, mit Fokus auf Integration von Werkzeugen in agile Entwicklungsprozesse. Gunnar lebt und in arbeitet in Aachen, wo er nach dem Studium mit einem Start-up hängen geblieben ist.
Expertise und Interessensgebiete: CI/CD, SAST, Static Code Analysis, FOSS, Software Development, DevOps, DevSecOps, Agile, Fuzz Testing, Embedded Systems, IoT, IAST, Security Culture, …

 

465 Artikel zu „Open Source Sicherheit“

Sicherheitsrisiko Security-Software: Angreifbar durch Open-Source-Komponenten

Vulnerability Update listet 11 Sicherheitsprogramme; viele der Anwendungen enthalten Open-Source-Komponenten sowie deren Schwachstellen. Ein Anbieter von Lösungen für Softwarelizenzierung, Compliance, Security und Installation für Softwarehersteller und Unternehmen, hat ein neues Vulnerability Update [1] veröffentlicht. Der Report nennt die 20 Produkte mit den meisten Schwachstellen im Zeitraum von August bis Oktober 2016. Auf der Liste findet…

Open Source: Sicherheit durch Transparenz

Der Vergleich zwischen proprietärer Software und Open-Source-Software ist so alt wie die IT-Industrie selbst. Für so gut wie jede Softwarekategorie gibt es Angebote von Herstellern, die ihren Code entweder alleine entwickeln und vertreiben oder Entwicklergemeinden, die dies an offenem Code tun. Die Ablehnung, offene Software zu nutzen, hat sich vor allem in Unternehmen im letzten…

Studie: Open-Source-Software bietet mehr Sicherheit

Die Mehrheit der IT-Fachkräfte zieht Open-Source-Produkte herkömmlicher Software vor. Open Source führe zu stabileren Geschäftsprozessen, höherer Qualität und niedrigeren Kosten. Dies ist das Ergebnis einer Studie des Ponemon-Instituts. So zeigten sich zwei Drittel der befragten IT-Entscheider davon überzeugt, dass Open Source die Sicherheit von Anwendungen erhöht und den Schutz privater Daten verbessert. Im Rahmen der…

70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code. Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code. JavaScript und Ruby haben besonders große Angriffsflächen.   Der neue »State of Software Security (SoSS): Open Source Edition«-Report zum Thema Sicherheit in Open-Source-Software von Veracode zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens…

Cloud-native Anwendungssicherheit: Viele sichern die Tür, lassen aber das Fenster offen

Wenn Unternehmen den Lebenszyklus bei der Entwicklung ihrer Anwendungen optimieren und beschleunigen und diese dann in der Cloud bereitstellen möchten, wird die Sicherheit zu einer größeren Herausforderung. Cloud-native Anwendungen sind komplexer und weisen mehr Abhängigkeiten auf, weshalb sie auch schwieriger zu sichern sind. Traditionelle Ansätze drehen sich im Kreis: Es wird lediglich reagiert, um die…

IT-Sicherheit mit Flexibilität: Cloud-Sicherheit und die Vertrauensfrage

IT-Sicherheit ist ein zentrales Thema in Unternehmen. Nicht zuletzt dank der Kampagnen von IT-Anbietern rund um die Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) sind sich in vielen Fällen nicht nur IT-Verantwortliche, sondern auch das Management im Allgemeinen der Notwendigkeit bewusst, sensible Daten zu schützen. In Zeiten von Cloud Computing heißt das unter anderem, dass eine hohe…

Augen auf beim Einsatz von Third-Party-Komponenten – Risikofaktor Open Source

Im Zuge der Digitalisierung entwickelt sich Open-Source-Software auch in Deutschland, Österreich und der Schweiz zu einem wichtigen Baustein agiler Entwicklungsumgebungen. Der quelloffene Code ermöglicht es Unternehmen, wirtschaftlicher zu agieren und ihre Anwendungen schneller zur Marktreife zu führen – doch er birgt auch Risiken. Mittelständler, Konzerne und Regierungseinrichtungen sind daher gut beraten, passgenaue Strategien für eine sichere Open-Source-Nutzung zu entwickeln.

Darum ist eine automatisierte Verwaltung wichtig für die Netzwerksicherheit – Die Automatisierung des Sicherheitsmanagements

Eine Studie des Netzwerksicherheitsanbieters AlgoSec aus dem Jahr 2019 ergab, dass über 42 Prozent der Unternehmen einen Anwendungs- oder Netzwerkausfall erlebten, den ein menschlicher Fehler oder eine falsche Konfiguration verursachte. Warum ist diese Zahl so hoch und wie kann Automatisierung hier Abhilfe schaffen?

Open-Data-Initiative: Mit Datenkooperationen gegen die »Daten-Kluft«

Durch die Nutzung und den Austausch öffentlich zugänglicher Daten können fundierte Entscheidungen getroffen und sogar einige der weltweit drängendsten sozialen Herausforderungen besser bewältigt werden. So heißt es in der neuen Datenstrategie der Bundesregierung, »Daten sind eine Schlüsselressource«, etwa für die Verbesserung der Gesundheitsversorgung. Die Fähigkeit Daten verantwortungsvoll und selbstbestimmt zu nutzen, zu verknüpfen und auszuwerten,…

»Tatort« aus Potsdam: Onlinekurs zur Internetsicherheit wirkt wie ein Krimi

Wie ein Krimi klingt der Titel des neuen Onlinekurses zur Internetsicherheit, den das Hasso-Plattner-Institut (HPI) ab 13. Mai gratis auf seiner Lernplattform openHPI anbietet: »Tatort Internet – Angriffsvektoren und Schutzmaßnahmen«. Eine Anmeldung für den sechswöchigen Kurs, den HPI-Direktor Prof. Christoph Meinel leitet, ist online unter https://open.hpi.de/courses/intsec2020 möglich.   »Viele Menschen sind sich der großen Risiken,…

Generation »YouTube« wünscht sich Strukturen und Sicherheit: Wertewandel auf dem Arbeitsmarkt der Generation Z

Für die Generation Z, auch als Generation YouTube bezeichnet, ist die Digitalisierung im Alltag ganz normal und Smartphones und Co. aus allen Lebensbereichen nicht mehr wegzudenken. Die jungen Erwachsenen erobern seit einigen Jahren langsam die Arbeitswelt und bringen ihre ganz eigenen Prinzipien, Vorstellungen und Lebensweisen mit. Um weiterhin dem Fachkräftemangel entgegenzuwirken, sollten Unternehmen darauf bedacht…

»Size Matters« – jedenfalls bei der Nutzung von Open Source in Unternehmen 

»Zuerst die gute Nachricht« heißt es einleitend im Open Source Monitor [1]. Fast 70 % der befragten Unternehmen in Deutschland setzen Open-Source-Lösungen ein. Diese Zahl steigt drastisch an, wenn sich Unternehmen an der Schwelle zum Großunternehmen befinden. Sieben von zehn Unternehmen mit 200 bis 499 Beschäftigten geben an Open-Source-Software einzusetzen. Drei Viertel der Firmen mit…

SD-WAN: Lassen sich Sicherheit und Agilität kombinieren?

Die Digitalisierung verändert Rahmenbedingungen für die Wirtschaft – und gleichzeitig die Art und Weise, wie Angestellte arbeiten. So ergeben sich verschiedene interne und externe Herausforderungen; Unternehmen müssen agil sein und Mitarbeitern durch neue Technologien eine flexible Arbeitsweise ermöglichen. Dabei darf die Sicherheit aber nicht zu kurz kommen. Software-Defined Wide Area Networks (SD-WAN) können dabei helfen…

Open Source: Jedes dritte Unternehmen entwickelt mit

Unternehmen wollen durch Open Source Geld sparen – aber auch Mitarbeiter weiterbilden und die Community unterstützen Bitkom veröffentlicht Studienbericht »Open Source Monitor« Open-Source-Software ist längst viel mehr als das abendliche Freizeitprojekt von Computer-Nerds. Rund jedes dritte größere Unternehmen in Deutschland (31 Prozent) beteiligt sich heute bereits an der Entwicklung von Open-Source-Software. Das hat eine Umfrage…

Deutscher Mittelstand hat Nachholbedarf bei Umsetzung und Strategie im Bereich Open Source

Der diese Woche veröffentlichte »Bitkom Open Source Monitor 2019« belegt: Die Mehrheit der deutschen Unternehmen steht Open-Source-Software aufgeschlossen gegenüber. Dabei ist es vor allem der Mittelstand – der Motor der deutschen Wirtschaft –, der besonderes Interesse an Open Source zeigt. Das Potenzial von Open-Source-Software wird klar erkannt: Finanzielle Einsparungen durch den Wegfall von Lizenzkosten, hohe…

Cybersicherheit jenseits der Technologie: 3 neue Bedrohungen

Wir tendieren dazu, bei Cybersicherheit zunächst immer in technischen Dimensionen zu denken. Es geht um neue Ransomware-Attacken mit noch gefährlicheren Algorithmen, Viren, Würmern und Phishing. Das sind aber letztlich nur die Speerspitzen des Angriffs. Cyberkriminalität ist heute ein Massenphänomen, das sich auf breite Teile der Gesellschaft auswirkt. Betrachtet man nur die technische Seite, kann man…

Cybersicherheit 2020: Vier konkrete Bedrohungsszenarien

Jedes Jahr erstellen die Experten von Stormshield eine Analyse der Tendenzen, die sich für das angebrochene Jahr abzeichnen. Auf den Prüfstand stellt der Hersteller dabei selbst schwache Angriffssignale aus dem Vorjahr, die jüngsten Branchenanalysen und die Meinungen seiner Sicherheitsspezialisten. Daraus resultiert 2020 ein Ausblick mit vier Hypothesen und Szenarien, die alles andere als realitätsfremd sind.…

Unsicher sicher: Ein falsches Gefühl von Sicherheit und was es bewirkt

Von Tyler Reguly, Tripwire.   Heute findet der mittlerweile 14. Europäische Datenschutztag statt. Wie immer seit seiner Einführung im Jahr 2007 am 28. Januar. Man kommt also nicht umhin, einmal mehr über Sicherheit, oder genauer gesagt, über den Mangel daran, nachzudenken.   Sicherheit ist ein interessantes Thema, das uns von unserer Geburt bis zu unserem…