Viele OSS-Libraries werden nie aktualisiert

23. Juni 2021, 13:35
  • open source
  • vendor
  • veracode
  • security
  • studie
image

Jeder nutzt sie, wenige kümmern sich um ihre Security-Lücken. Dies zeigt eine Veracode-Analyse. Das Weisse Haus macht nun Vorschriften.

Die Welt ist dynamisch: Praktisch jeder setzt heute in Applikationen Open-Source-Software aus unterschiedlichen Quellen ein, soviel ist bekannt. Änderungen im Code haben einen direkten Einfluss auf die Software-Sicherheit, soviel ist ebenfalls bekannt.
Die App-Security-Firma Veracode hat zehntausende Repositories gescannt, um herauszufinden, wie gut Entwickler die Software Supply Chain im Griff haben. Konkret suchten sie danach, wie OSS-User auf Library-Änderungen reagieren. Zudem hat Veracode eine Entwickler-Umfrage durchgeführt.
Fundsache 1: Fast alle gescannten Repositories enthalten Libraries mit mindestens einer Sicherheitslücke. Die üblicherweise empfohlene Reaktion wäre, ihre Komponenten auf dem neuesten Stand zu halten und schnell auf neu entdeckte Schwachstellen zu reagieren. Beides tun viele Entwickler laut Veracode-Whitepaper aber nicht, wenn auch aus unterschiedlichen Gründen. Die einen wissen nichts davon, weshalb sie 7 Monate benötigen, um die Hälfte der Lücken zu schliessen. Die andern werden auf Bugs und Lücken hingewiesen und reagieren dann auch: 17% der Schwachstellen werden innerhalb einer Stunde behoben und 25% innert einer Woche.
Fundsache 2: Die einen Entwickler reagieren je nach Grösse des Problems unterschiedlich schnell, priorisieren ihre Handlungen also. Andere kümmern sich weniger um den Schweregrad. Und viele fixen am schnellsten Lücken mit niedrigem Schweregrad.
Fundsache 3: Die meisten Entwickler – 80% – integrieren irgendwelche Libraries in ihren Code und da bleiben sie auch, ohne jemals wieder berührt oder aktualisiert zu werden.
Das sei unbedacht, findet Veracode. Updates können laut dem Papier in über 90% aller Fälle die Schwächen beheben und führen in der Mehrheit der Fälle auch nicht zu Problemen: "Es ist unwahrscheinlich, dass sie selbst bei den komplexesten Anwendungen die Funktionalität beeinträchtigen."
Fundsache 4: Die Software-Supply-Chain mag neuerdings als wichtig gelten und seit den letzten grossen Hacks sogar als Security-Risiko. Trotzdem sei diese Information in vielen Entwicklungsabteilungen noch nicht reflektiert worden: Nur 52% der befragten Entwickler verfolgen einen formalen Evaluationsprozess, bevor sie OSS von irgendwelchen Fremdanbietern nutzen.
Das liege an der falschen Prioritätensetzung, wenn Entwickler geeignete Libraries suchen. Sie beachten laut dem Papier zuerst die Funktionalität, anschliessend das Lizenzmodell und erst an dritter Stelle die Security des Codes.
Wer sich also zuerst eine ungeprüfte Library einverleibt und diese dann auch nie updatet, kann sich mit hoher Wahrscheinlichkeit Security-Probleme einhandeln.

Biden fordert bald Security-Nachweise

Aber nicht jeder Kunde glaubt nach all den Hacks noch unbesehen an sichere Software-Entwicklungspraktiken und die Selbstregulierung von Software-Anbietern. Im Mai hat das Weisse Haus eine "Executive Order on Improving the Nation's Cybersecurity" publiziert, welche die Security-Risiken der von der Regierung beschafften Software minimieren soll.
Präsident Joe Biden befiehlt darin unter anderem "Mindeststandards für das Testen des Software-Quellcodes von Anbietern, einschliesslich der Identifizierung empfohlener Methoden von manuellen oder automatisierten Tests (wie Code-Review-Tools, statische und dynamische Analyse, Software-Composition-Analyse-Tools und Penetrationstests)". Diese Standards sind in den nächsten Wochen zu erwarten.
Das wiederum freut natürlich Veracode, kann die Firma doch auf Neukunden hoffen, denn die Welt ist dynamisch.

Zur Studie

Veracode gibt an, man habe 13 Millionen Scans von mehr als 86'000 Repositories mit mehr als 301'000 Bibliotheken analysiert und ausserdem fast 2000 Entwickler befragt. Der Bericht "State of Software Security (SoSS) v11: Open Source Edition" kann gegen Adressangabe kostenlos heruntergeladen werden.

Loading

Mehr zum Thema

image

Geotech: Huaweis "eiserne Armee" in der Defensive

Huawei-CEO Zhengfei spricht von einem Überlebenskampf, während der internationale Druck zunimmt. Wir haben bei Huawei Schweiz nach Transparenzbemühungen und Geschäftsgang gefragt.

publiziert am 27.9.2022 2
image

Schweiz ein weiteres Mal Innovations-Europameister

Im European Innovation Scoreboard 2022 schneidet die Schweiz besser ab als die EU-Spitzenreiter Schweden und Finnland.

publiziert am 26.9.2022
image

Wie ERP-Lösungen bei Unternehmen abschneiden

ERP-Anwender aus dem DACH-Raum kritisieren in einer Trovarit-Befragung die Performance der Systeme. Nachhaltigkeit ist zum Trendthema geworden, noch vor der Cloud.

Von publiziert am 26.9.2022
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.