Illustration Absmeier foto freepik

Frei zugängliche Computerprogramme, die Nutzer herunterladen, verändern und verbreiten dürfen – das steckt hinter sogenannten »Open-Source-Softwares«. Entwickler machen davon u. a. Gebrauch, um einzelne Softwaremodule für neue Anwendungen aus einer Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln. Das Problem: Bei den frei zugänglichen Inhalten treten immer wieder Schwachstellen auf, womit die Gefahr für Schadsoftware steigt. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der Universität Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen SAP SE zusammengeschlossen. Die Experten haben u. a. Werkzeuge entwickelt, die Schwachstellen auch mit bisher unzureichenden Informationen erkennen und entfernen können. Das auf drei Jahre angelegte Projekt wurde von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gefördert.

Risiko für Schadsoftware verringen

»Open-Source-Bibliotheken sind sehr weit verbreitet in der modernen Softwareentwicklung. Zwar gibt es dafür gute Gründe, allerdings erhalten durch den öffentlichen Zugang auch potenzielle Angreifer Einblicke in Teile der zugrundeliegenden Codes. So finden sie Schwachstellen, die sie für Cyberangriffe ausnutzen können«, erläutert Jonas Klauke, Wissenschaftlicher Mitarbeiter der Paderborner Fachgruppe »Secure Software Engineering«. Die gute Nachricht: Diese Schwachstellen werden auch von der Open-Source Community gefunden, gemeldet und in einer neuen Version der Bibliothek repariert. Klauke erläutert: »Um die Schwachstellen in den Anwendungen zu schließen, muss die genutzte Bibliothek auf die reparierte Version aktualisiert werden. Dafür müssen die Entwickler informiert werden. Das passiert über Tools, die Bibliotheken mit Schwachstellen erkennen. Das Problem ist, dass diese Tools oft ungenau sind. Deshalb haben wir an einem automatisierten Prozess geforscht, der die Entwickler bei der Behebung von befallenen Bibliotheken unterstützt.« Dadurch sollen die Sicherheitslücken schnell und unkompliziert geschlossen werden.

»UpCy« steht bereits zur freien Verfügung

Erklärtes Projektziel war es, Werkzeuge zu entwickeln, die Schwachstellen in Open-Source-Anwendungen auch mit unzureichenden Informationen erkennen können. Dabei herausgekommen sind zwei Tools, von denen eines bereits öffentlich zur Verfügung steht. »Das erste ist ein Scanner, der es ermöglicht, Bibliotheken mit Schwachstellen zu erfassen, die in Anwendungen aktiv genutzt werden. Da das Updaten von Bibliotheken einige Veränderungen mit sich bringt, muss das Programm oft an die neue Version angepasst werden. Dieser Aufwand kann reduziert werden, indem das Updaten auf die genutzten Bibliotheken mit Schwachstellen fokussiert wird«, so Klauke. Das zweite entwickelte Tool mit dem Namen »UpCy« hilft Nutzern beim automatischen Aktualisieren der befallenen Bibliotheken, indem es neue Versionen von Bibliotheken findet, deren Updates keine Komplikationen verursachen. Während an dem Scanner noch gearbeitet wird, können Anwender »UpCy« bereits nutzen.

Schwachstellen in Open-Source-Softwares auch ohne den Quellcode finden

Zwar gibt es bereits Tools, die Schwachstellen in Open-Source-Softwares erkennen, allerdings nur, wenn die Metadaten oder der sogenannte »Quellcode« vorliegen. »Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben und wird in einen Maschinencode übersetzt, um die Anwendung auf dem Computer ausführbar zu machen. Der Quellcode kann allerdings nicht immer präzise der jeweiligen Version der Bibliothek zugewiesen werden. Fehlen nun auch die Metadaten, werden Bibliotheken mit potenziellen Schwachstellen übersehen«, so Klauke. Mithilfe der entwickelten Prozesskette lassen sich nun auch diese Bibliotheken erkennen, wenn weder Metadaten noch eine direkte Verbindung zum ursprünglichen Quellcode existieren.

Weitere Informationen gibt es unter https://www.uni-paderborn.de/projekt/107 .

1377 Artikel zu „Open Source Sicherheit“

News | IT-Security | Strategien | Ausgabe 9-10-2024 | Security Spezial 9-10-2024

Ausgereiftes, flexibles, vertrauenswürdiges, europäisches Produkt auf Open-Source-Basis – Digitale Souveränität: ein Muss für Cybersicherheit

18. Oktober 2024

Digitale Souveränität ist kein Luxus. Gerade für Deutschland, die größte Volkswirtschaft Europas, ist sie nicht nur eine Frage der nationalen Sicherheit, sondern auch eine Notwendigkeit für wirtschaftliches Wachstum und gesellschaftliche Entwicklung. Deutsche Behörden und Unternehmen müssen in der Lage sein, Kontrolle über ihr digitales Umfeld auszuüben. Dies betrifft Daten, digitale Infrastrukturen, Online-Plattformen und besonders Cybersicherheitsmaßnahmen.