Forscher von Black Duck Software weisen auf „erhebliche Risiken“ bei der Verwendung von Software hin, die Open-Source-Komponenten enthält. Im Rahmen einer Studie untersuchten sie 1000 Anwendungen, die häufig in Unternehmen zum Einsatz kommen. Darunter waren auch Banking-Apps, die im Durchschnitt jeweils 52 Open-Source-Anfälligkeiten enthielten. Bei 60 Prozent dieser Apps stuften die Forscher mindestens eine Schwachstelle als kritisch ein.
Den höchsten Anteil von Software mit schwerwiegenden Open-Source-Lücken entdeckten die Forscher im Einzel- und Onlinehandel. Hier hatten 83 Prozent der Anwendungen als kritisch zu bewertende ungepatchte Schwachstellen im Open-Source-Code.
Entwickler greifen in der Regel auf Open Source zurück, um die Kosten für die Entwicklung eigener Anwendungen zu reduzieren. Zudem hilft der „fertige“ Code ihnen, ihre Produkte schneller zur Marktreife zu führen und ihre Apps um innovative Funktionen zu erweitern. Allerdings werden solche Open-Source-Projekte oftmals nur durch eine Community betreut, deren Mitglieder sich nur nebenbei und ohne Bezahlung um die Pflege des Codes kümmern können.
Baut eine kommerzielle Software auf einer Open-Source-Komponente auf, dann enthält sie unter Umständen auch deren Sicherheitslücken. Die Open-Source-Community stellt in der Regel zwar die benötigten Patches bereit, die jedoch nicht automatisch in die Anwendungen von Drittanbietern einfließen. Dafür sind ausschließlich deren Entwickler verantwortlich.
Laut der Studie ist vielen dieser Anbieter jedoch gar nicht bewusst, welche Teile ihrer Software auf Open Source basieren. Als Folge traten bei 85 Prozent der untersuchten Anwendungen Lizenz-Probleme auf. „Jeder benutzt viel Open Source, aber wie die Studie zeigt, leisten nur wenige bei der Erkennung und Überwachung von Open-Source-Komponenten und Anfälligkeiten in ihren Applikationen gute Arbeit“, sagte Chris Fearon, Direktor der Open Source Security Research Group von Black Duck.
Ein bekanntes Beispiel für eine Lücke in einer Open-Source-Software mit zahlreichen kommerziellen Implementierungen ist der als Heartbleed bezeichnete Bug in OpenSSL. Der Fehler, der unter anderem Webserver angreifbar macht, wurde im April 2014 entdeckt. Obwohl sich Hersteller beeilten, schnell Updates zu veröffentlichen, waren im Juni 2014 noch 300.000 Server weltweit betroffen. Ende Januar 2017, also mehr als zweieinhalb Jahre später, meldete die Suchmaschine Shodan noch knapp 200.000 Services, die auf einer für Heartbleed anfälligen OpenSSL-Version basieren.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…
