Die Sicherheitsfirma Black Duck Software hat sich im Auftrag von IBM mit quelloffenen Komponenten kommerzieller Software beschäftigt und warnt nun, dass darin noch Dutzende alte Fehler stecken. Selbst so bekannte Lücken wie Heartbleed und Poodle waren in je rund 10 Prozent der Programme nicht gestopft. 40 Prozent der beobachteten Schwachstellen waren nach dem Common Vulnerability Scoring System mit Schweregrad 7 oder höher bewertet.
Dieser Informationsmangel hat natürlich Auswirkungen auf die Aktualisierungspolitik: Nicht bekannte Komponenten werden nicht gepatcht, was die Wahrscheinlichkeit steigen lässt, dass sich darin alte Bugs finden.
Insgesamt waren es 67 Prozent der Anwendungen, die anfällige Open-Source-Komponenten enthielten. Im Schnitt konnte Black Duck die Präsenz von fünf Bestandteilen mit bekannten Schwachstellen konstatieren, die aber durchaus mehr Anfälligkeiten aufwiesen: Die durchschnittliche Anzahl ungepatchter Lücken betrug 22,5 pro Anwendung.
Die gefundenen Schwachstellen waren im Schnitt etwa fünf Jahre alt. „Das weist darauf hin, dass die Firmen nichts von den Schwachstellen wussten, entweder weil ihnen die Präsenz einer Komponente unbekannt war oder weil sie öffentlich verfügbare Ressourcen zu Schwachstellen nicht genutzt hatten“, heißt es in dem Bericht.
Der für Black Ducks Produktstrategie zuständige Vizepräsident Mike Pittenger erklärte, das Problem sei keinesfalls die Verwendung von Open-Source-Software. Vielmehr sei ihr Einsatz nicht ausreichend bekannt, und die Firmen würden sich auch zu wenig über neue Schwachstellen informieren.
Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent
IBM weist mit Veröffentlichung der Zahlen darauf hin, dass es zusammen mit Black Duck eine Lösung anbietet, um Open-Source-Komponenten und ihre Schwachstellen zu identifizieren, zu beheben und zu kontrollieren. Kunden können ihre Anwendungen mit IBM AppScan untersuchen und sich anschließend über den Black Duck Hub fortlaufend informieren lassen, welche ihrer Anwendungen von einer neu entdeckten Lücke betroffen sind. Freilich kann man die Verwendung von OSS-Komponenten auch von vornherein selbst gründlich dokumentieren und diese jeweils bei Verfügbarkeit eines Patches aktualisieren.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Seit Ende September ist sie also verfügbar: die Apple Watch 10. Auch in Deutschland kann…
ISG sieht engere Vernetzung zwischen Hyperscaler, IT-Partnern und Endkunden. Treiber ist das Zusammenspiel von KI…
Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.