Neues Tool soll Lücken in Open-Source-Software zuverlässig aufspüren

18. Februar 2021, 11:21
  • security
  • open source
  • github
  • lücke
image

Centris erkenne selbst modifizierte OSS-Komponenten mit hoher Präzision, so die Entwickler. Sie hätten bereits hunderte Schwachstellen entdeckt.

Der Rückgriff auf Open-Source-Software (OSS) verkürzt die Entwicklungszeit von Software und kann die Sicherheit verbessern, weil jene Teile des Codes für die Öffentlichkeit und potentiell gut gesonnene Entwickler einsehbar ist. Zugleich sind die Abhängigkeiten aber eine Gefahr, weil sich Lücken in Komponenten befinden können, die Entwickler nicht auf dem Schirm haben.
Dem soll nun eine neues Tool Abhilfe schaffen, indem es Open-Source-Komponenten überschaubarer und dadurch sicherer macht. Das Tool Centris wurde nicht vom gleichnamigen Solothurner IT-Dienstleister entwickelt, sondern von einem globalen Team der Korea University und dem Georgia Institute of Technology. Die Entwickler sagen: Das Tool habe bereits hunderte alter Schwachstellen in Github-Projekten aufgespürt.
Die Code-Hosting-Plattform hatte in ihrem jüngsten Bericht geschrieben, dass es im Schnitt rund 4 Jahre dauere, bis eine Schwachstelle in Open-Source-Code entdeckt werde. Zugleich weisen die meisten Projekte auf Github Abhängigkeiten von unterschiedlichen OSS-Komponenten auf. Zwar seien nur 17% der Lücken von böswilliger Natur, teilte Github mit, dennoch bieten solche Lücken ein Einfallstor für Angreifer.
Das neue Tool soll einige Tricks können: So soll es Lücken auch erkennen, wenn Entwickler bei der Integration von Code in ihre Projekte Dateinamen und Hierarchien verändert haben. Rund 95% der wiederverwendeten Code-Teile seien so modifiziert worden, erklärte Seunghoon Woo, Hauptautor des Centris-Papiers gegenüber dem Security-Blog 'The Daily Swig'. Dies erschwere den Überblick über die OSS-Komponenten und sei von den traditionellen Tools nicht erkannt worden, während andere Tools zu häufig falschen Alarm geschlagen hätten.
Centris greift für seine Analyse von wiederverwendeten OSS-Komponenten auf eine Datenbank zurück, die sich aus mehr als 10'000 Github-Repositories speist und über 80 Milliarden Codezeilen umfasst. Diese wurden laut den Forschern um Redundanzen bereinigt und zerlegt, so dass der granulare Ansatz auch Teile von OSS-Komponenten erkennen helfe. Das soll auch Supply-Chain-Angriffe verhindern oder zumindest erschweren. Das Tool erkenne wiederverwendete OSS-Komponenten mit einer Präzision von 91%, versprechen die Entwickler in ihrem Forschungspaper (PDF).
In Kürze soll ein öffentlicher und kostenloser Webdienst zur Schwachstellenanalyse von Centris zur Verfügung stehen. Mit deren Hilfe solle jeder die Komponenten in seiner Software frei identifizieren können, um potenzielle Bedrohungen zu beseitigen.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023