Viele Applikationen verwenden anfällige Open-Source-Bibliotheken

26. Mai 2020, 15:29
image

70% der Anwendungen weisen laut einem Bericht mindestens eine Sicherheitslücke in einer Open-Source-Bibliothek auf.

Moderne Softwareentwicklung stütze sich häufig auf OSS-Bibliotheken, selbst bei Anwendungen, die kommerziell verkauft werden. Den Entwicklern sei aber nicht immer bewusst, wie diese Komponenten Schwachstellen in ihren Code bringen können, heisst es im Bericht "State of the Software Security, Open Source Edition".
Konkret würden 7 von 10 Applikationen mindestens eine Open-Source-Library mit einer Sicherheitslücke verwenden, so der Bericht, der vom Security-Unternehmen Veracode publiziert wurde.
"Die Angriffsfläche einer Anwendung ist nicht auf ihren eigenen Code und den Code explizit einbezogener Bibliotheken beschränkt, da diese Bibliotheken ihre eigenen Abhängigkeiten haben", so Chris Eng, Chief Research Officer von Veracode. Wenn Anwendungen immer komplexer werden, wachse die Anzahl der Abhängigkeiten, die der Entwickler verwalten müsse, ziemlich schnell.
Dies mache es für Entwickler schwierig, den Überblick zu behalten und sicherzustellen, dass immer die aktuellen Versionen von OSS-Bibliotheken verwendet werden. Entwickler könnten sich auch nicht einfach auf CVE-Nummern verlassen, um den Überblick über gefährdete Bibliotheken zu behalten, da nicht allen Schwachstellen CVEs zugewiesen werden. Mehr als 60% der gefährdeten Javascript-Bibliotheken haben laut Report Sicherheitsmängel ohne entsprechende CVE-Nummern.
Für den Bericht wurden die 85'000 Anwendungen der Veracode-Plattform untersucht, die 351'000 einzigartige externe Bibliotheken umfassen. Dabei wurden die Anwendungen analysiert, um festzustellen, wie die Bibliothek eingebunden wurde, um zu zeigen, wie es zu unbeabsichtigten Folgen für die Wartung des Codes kommen könnte.

Beliebte Libraries ermöglichen DoS-Angriffe

Wie Veracode ausführt, verfügt jede Sprache über eine Reihe von Bibliotheken, die in einer Mehrzahl der Anwendungen verwendet werden: 
image
Prozent der Anwendungen, die eine Bibliothek nutzen. Quelle: Veracode
Die vollständige Auflistung nach Sprachen geordnet gibt es im Veracode-Report.  
Dies sei per se nicht schlecht, sofern die Bibliotheken sicher zu nutzen seien. Aber bereits die zweit- und drittbeliebtesten Javascript-Libraries würden bekannte Denial-of-Service-Schwachstellen aufweisen. Gleichzeitig aber halten die Autoren fest, dass, obwohl fast jede Anwendung einen von einer Bibliothek eingeführten Fehler aufwies, die Behebung dieses Fehlers einfach sei.
Die Ergebnisse von Veracode decken sich laut dem auf IT-Security spezialisierten Magazin 'Decipher' mit dem Open-Source-Sicherheitsbericht von Synopsys. Demnach enthalten 99% aller Codebasen mindestens etwas Open-Source-Code und 75% mindestens eine anfällige Open-Source-Komponente. Etwa 90% der Anwendungen nutzen mindestens eine OSS-Komponente, die um vier oder mehr Jahre veraltet ist. 

Loading

Mehr zum Thema

image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022
image

Hausmitteilung: Aus C36daily wird ICT Ticker

Wir modernisieren den ICT-Medienspiegel C36daily und geben diesen neu unter dem Namen ICT Ticker heraus. Am bisherigen Format mit kuratierten Inhalten ändert sich nichts.

publiziert am 30.9.2022
image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022