Neuer Veracode-Report zeigt: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
Open Source steht in der IT-Branche hoch im Trend. Das macht die Arbeit vieler Entwicklerteams effizienter, innovativer und schneller. Selbst Microsoft plant immer mehr Quellcode seiner Software frei verfügbar zu machen. In punkto Sicherheit bietet Open Source tatsächlich auch gewisse Vorteile: ist der Quellcode für alle einsehbar, können Schwachstellen wesentlich schneller und besser identifiziert werden und der Code optimiert. Aber Sicherheit in Open Source Software hat auch seine Schattenseiten. Die schiere Masse an Code in Open-Source-Bibliotheken führt dazu, dass fehlerhafte Open-Source-Bibliotheken leichter verbreitet werden und somit mehr Anwendungen, die diese Bibliotheken einsetzen, gefährdet sind.
Vor diesem Hintergrund hat Veracode seinen neuen „State of Software Security (SoSS): Open Source Edition“-Report veröffentlicht, für den die in 85.000 verschiedenen Anwendungen enthaltenden Open-Source-Bibliotheken untersucht wurden – eine Anzahl von über 351.000 Open-Source-Bibliotheken insgesamt. Nahezu alle modernen Anwendungen, einschließlich derer, die kommerziell verkauft werden, beinhalten Open-Source-Komponenten. Dabei kann ein einziger Fehler in einer Open-Source-Bibliothek alle Anwendungen, die auf diese Bibliothek zurückgreifen, beschädigen. „Open Source Software weist eine überraschende Vielzahl an Schwachstellen auf“, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode. „Die Angriffsfläche einer Anwendung ist weder auf ihren eigenen Code, noch auf den Code von den einbezogenen Bibliotheken beschränkt, da diese wiederum von anderen Bibliotheken abhängig sind. Entwickler führen also in der Realität weitaus mehr Code in ihre Anwendungen ein, als auf den ersten Blick vermutet. Solange sich Entwickler dessen aber bewusst sind, sind sie in der Lage Fehler schneller zu beheben und können das Risiko verringern.“
Die Forscher von Veracode kamen zu folgenden Ergebnissen:
Open Source Bibliotheken sind omnipräsent und bergen Risiken
- Die am häufigsten verwendeten Bibliotheken sind in über 75 Prozent aller Anwendungen zu finden.
- Viele fehlerhafte Bibliotheken (47 Prozent) landen auf indirektem Wege im Code – sprich nicht direkt vom Entwickler gezogen, sondern beruhend auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek. Die meisten durch fehlerhafte Bibliotheken entstandenen Schwachstellen in Anwendungen können aber bereits durch kleine Versions-Updates behoben werden.
- Nicht alle Bibliotheken haben CVEs („Common Vulnerabilities and Exposures“) – das bedeutet, dass Entwickler sich nicht auf CVEs verlassen können, um Schwachstellen in Bibliotheken zu erkennen und zu beheben. So beinhalten zum Beispiel über 61 Prozent aller fehlerhaften JavaScript-Bibliotheken Schwachstellen ohne entsprechende CVEs.
Die Programmiersprache macht einen Unterschied
- Manche Sprachen neigen dazu häufiger transitive Abhängigkeiten einzuführen als andere. In über 80 Prozent der JavaScript-, Ruby- und PHP-Anwendungen führt die Mehrheit der Bibliotheken zu transitiven Abhängigkeiten.
- Der Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code.
- Von den OWASP Top Ten Schwachstellen, stellen Fehler im Access Control mit 25 Prozent aller Schwachstellen die größte Menge dar. In Open-Source-Bibliotheken stellt Cross-Site-Scripting die häufigste Schwachstelle dar: sie wurde in 30 Prozent aller Bibliotheken gefunden. Weitere häufige Schwachstellen waren unsichere Deserialisierung, die in 23,5 Prozent aller Bibliotheken gefunden wurde und Broken Access Control mit 20,3 Prozent.
Den kompletten „State of Software Security: Open Source Edition“ Report finden Sie hier zum Download. Erfahren Sie außerdem mehr zu Veracodes Software Composition Analysis.
Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können. Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policy-basierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Veracode
Telefon: +1 (339) 674-1528
E-Mail: pdaly@veracode.com
Hotwire für Veracode
Telefon: +49 (89) 26208-189
E-Mail: julia.bastos@hotwireglobal.de