Studie: Kommerzielle Software steckt voller alter Open-Source-Lücken

Die Sicherheitsfirma Black Duck Software hat sich im Auftrag von IBM mit quelloffenen Komponenten kommerzieller Software beschäftigt und warnt nun, dass darin noch Dutzende alte Fehler stecken. Selbst so bekannte Lücken wie Heartbleed und Poodle waren in je rund 10 Prozent der Programme nicht gestopft. 40 Prozent der beobachteten Schwachstellen waren nach dem Common Vulnerability Scoring System mit Schweregrad 7 oder höher bewertet.

Die Daten wurden für IBM Security AppScan zusammengetragen. Im Sechsmonatszeitraum bis März 2016 hat Black Duck dafür rund 200 kommerzielle Anwendungen untersucht. Im Durchschnitt enthielten diese mehr als 100 quelloffene Komponenten. Zu Beginn einer solchen Prüfung ist den Anbietern typischerweise aber nur etwa die Hälfte dieser Bauteile bekannt.

Dieser Informationsmangel hat natürlich Auswirkungen auf die Aktualisierungspolitik: Nicht bekannte Komponenten werden nicht gepatcht, was die Wahrscheinlichkeit steigen lässt, dass sich darin alte Bugs finden.

Insgesamt waren es 67 Prozent der Anwendungen, die anfällige Open-Source-Komponenten enthielten. Im Schnitt konnte Black Duck die Präsenz von fünf Bestandteilen mit bekannten Schwachstellen konstatieren, die aber durchaus mehr Anfälligkeiten aufwiesen: Die durchschnittliche Anzahl ungepatchter Lücken betrug 22,5 pro Anwendung.

Die gefundenen Schwachstellen waren im Schnitt etwa fünf Jahre alt. „Das weist darauf hin, dass die Firmen nichts von den Schwachstellen wussten, entweder weil ihnen die Präsenz einer Komponente unbekannt war oder weil sie öffentlich verfügbare Ressourcen zu Schwachstellen nicht genutzt hatten“, heißt es in dem Bericht.

Der für Black Ducks Produktstrategie zuständige Vizepräsident Mike Pittenger erklärte, das Problem sei keinesfalls die Verwendung von Open-Source-Software. Vielmehr sei ihr Einsatz nicht ausreichend bekannt, und die Firmen würden sich auch zu wenig über neue Schwachstellen informieren.

IBM weist mit Veröffentlichung der Zahlen darauf hin, dass es zusammen mit Black Duck eine Lösung anbietet, um Open-Source-Komponenten und ihre Schwachstellen zu identifizieren, zu beheben und zu kontrollieren. Kunden können ihre Anwendungen mit IBM AppScan untersuchen und sich anschließend über den Black Duck Hub fortlaufend informieren lassen, welche ihrer Anwendungen von einer neu entdeckten Lücke betroffen sind. Freilich kann man die Verwendung von OSS-Komponenten auch von vornherein selbst gründlich dokumentieren und diese jeweils bei Verfügbarkeit eines Patches aktualisieren.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de