Viele Applikationen verwenden anfällige Open-Source-Bibliotheken

26. Mai 2020 um 15:29
  • open source
  • technologien
  • veracode
  • developer
  • vendor
image

70% der Anwendungen weisen laut einem Bericht mindestens eine Sicherheitslücke in einer Open-Source-Bibliothek auf.

Moderne Softwareentwicklung stütze sich häufig auf OSS-Bibliotheken, selbst bei Anwendungen, die kommerziell verkauft werden. Den Entwicklern sei aber nicht immer bewusst, wie diese Komponenten Schwachstellen in ihren Code bringen können, heisst es im Bericht "State of the Software Security, Open Source Edition".
Konkret würden 7 von 10 Applikationen mindestens eine Open-Source-Library mit einer Sicherheitslücke verwenden, so der Bericht, der vom Security-Unternehmen Veracode publiziert wurde.
"Die Angriffsfläche einer Anwendung ist nicht auf ihren eigenen Code und den Code explizit einbezogener Bibliotheken beschränkt, da diese Bibliotheken ihre eigenen Abhängigkeiten haben", so Chris Eng, Chief Research Officer von Veracode. Wenn Anwendungen immer komplexer werden, wachse die Anzahl der Abhängigkeiten, die der Entwickler verwalten müsse, ziemlich schnell.
Dies mache es für Entwickler schwierig, den Überblick zu behalten und sicherzustellen, dass immer die aktuellen Versionen von OSS-Bibliotheken verwendet werden. Entwickler könnten sich auch nicht einfach auf CVE-Nummern verlassen, um den Überblick über gefährdete Bibliotheken zu behalten, da nicht allen Schwachstellen CVEs zugewiesen werden. Mehr als 60% der gefährdeten Javascript-Bibliotheken haben laut Report Sicherheitsmängel ohne entsprechende CVE-Nummern.
Für den Bericht wurden die 85'000 Anwendungen der Veracode-Plattform untersucht, die 351'000 einzigartige externe Bibliotheken umfassen. Dabei wurden die Anwendungen analysiert, um festzustellen, wie die Bibliothek eingebunden wurde, um zu zeigen, wie es zu unbeabsichtigten Folgen für die Wartung des Codes kommen könnte.

Beliebte Libraries ermöglichen DoS-Angriffe

Wie Veracode ausführt, verfügt jede Sprache über eine Reihe von Bibliotheken, die in einer Mehrzahl der Anwendungen verwendet werden: 
image
Prozent der Anwendungen, die eine Bibliothek nutzen. Quelle: Veracode
Die vollständige Auflistung nach Sprachen geordnet gibt es im Veracode-Report.  
Dies sei per se nicht schlecht, sofern die Bibliotheken sicher zu nutzen seien. Aber bereits die zweit- und drittbeliebtesten Javascript-Libraries würden bekannte Denial-of-Service-Schwachstellen aufweisen. Gleichzeitig aber halten die Autoren fest, dass, obwohl fast jede Anwendung einen von einer Bibliothek eingeführten Fehler aufwies, die Behebung dieses Fehlers einfach sei.
Die Ergebnisse von Veracode decken sich laut dem auf IT-Security spezialisierten Magazin 'Decipher' mit dem Open-Source-Sicherheitsbericht von Synopsys. Demnach enthalten 99% aller Codebasen mindestens etwas Open-Source-Code und 75% mindestens eine anfällige Open-Source-Komponente. Etwa 90% der Anwendungen nutzen mindestens eine OSS-Komponente, die um vier oder mehr Jahre veraltet ist. 

Loading

Mehr erfahren

Mehr zum Thema

image

Rivella modernisiert Datenspeicherung mit HPE.

Als bei Rivella das wichtige Storage-System erneuert werden musste, implementierte Bechtle zwei HPE Alletra Storages mit der HPE GreenLake Technologie und übernahm den Service dazu. Das neue System von Hewlett Packard Enterprise überzeugt durch herausragende Leistung bei hoher Datenverfügbarkeit.

image

OpenAI darf Reddit-Daten nutzen

Die beiden Unternehmen wollen eng zusammenarbeiten – und voneinander profitieren.

publiziert am 17.5.2024
image

Studie: Was Menschen im EPD verheimlichen

Forschende haben untersucht, wie ehrlich Menschen bei ihren EPD-Einträgen sind. Dabei hat sich gezeigt: Je stigmatisierter eine Krankheit ist, desto seltener wird sie eingetragen.

publiziert am 16.5.2024
image

Epic führt zu Datenschutzdiskussionen am Inselspital

Der Berner Datenschützer äussert sich zum Einsatz des US-Klinik-Informationssystems Epic am Inselspital. Es führt zu einem Paradigmenwechsel, bei dem das Spital nachjustieren musste.

publiziert am 16.5.2024 1