Presseartikel mit Niveau – Einfach gut!

Neuer Veracode-Report zeigt: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

Veracode, der weltweit größte unabhängige Anbieter für Anwendungssicherheitstests (AST), hat einen neuen Report zum Thema Sicherheit in Open-Source-Software veröffentlicht. Der Report zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle in einer ihrer Open-Source-Bibliotheken aufweisen.

Open Source steht in der IT-Branche hoch im Trend. Das macht die Arbeit vieler Entwicklerteams effizienter, innovativer und schneller. Selbst Microsoft plant immer mehr Quellcode seiner Software frei verfügbar zu machen. In punkto Sicherheit bietet Open Source tatsächlich auch gewisse Vorteile: ist der Quellcode für alle einsehbar, können Schwachstellen wesentlich schneller und besser identifiziert werden und der Code optimiert. Aber Sicherheit in Open Source Software hat auch seine Schattenseiten. Die schiere Masse an Code in Open-Source-Bibliotheken führt dazu, dass fehlerhafte Open-Source-Bibliotheken leichter verbreitet werden und somit mehr Anwendungen, die diese Bibliotheken einsetzen, gefährdet sind.

Vor diesem Hintergrund hat Veracode seinen neuen „State of Software Security (SoSS): Open Source Edition“-Report veröffentlicht, für den die in 85.000 verschiedenen Anwendungen enthaltenden Open-Source-Bibliotheken untersucht wurden – eine Anzahl von über 351.000 Open-Source-Bibliotheken insgesamt. Nahezu alle modernen Anwendungen, einschließlich derer, die kommerziell verkauft werden, beinhalten Open-Source-Komponenten. Dabei kann ein einziger Fehler in einer Open-Source-Bibliothek alle Anwendungen, die auf diese Bibliothek zurückgreifen, beschädigen. „Open Source Software weist eine überraschende Vielzahl an Schwachstellen auf“, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode. „Die Angriffsfläche einer Anwendung ist weder auf ihren eigenen Code, noch auf den Code von den einbezogenen Bibliotheken beschränkt, da diese wiederum von anderen Bibliotheken abhängig sind. Entwickler führen also in der Realität weitaus mehr Code in ihre Anwendungen ein, als auf den ersten Blick vermutet. Solange sich Entwickler dessen aber bewusst sind, sind sie in der Lage Fehler schneller zu beheben und können das Risiko verringern.“

Die Forscher von Veracode kamen zu folgenden Ergebnissen:

Open Source Bibliotheken sind omnipräsent und bergen Risiken

  • Die am häufigsten verwendeten Bibliotheken sind in über 75 Prozent aller Anwendungen zu finden.
  • Viele fehlerhafte Bibliotheken (47 Prozent) landen auf indirektem Wege im Code – sprich nicht direkt vom Entwickler gezogen, sondern beruhend auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek. Die meisten durch fehlerhafte Bibliotheken entstandenen Schwachstellen in Anwendungen können aber bereits durch kleine Versions-Updates behoben werden.
  • Nicht alle Bibliotheken haben CVEs („Common Vulnerabilities and Exposures“) – das bedeutet, dass Entwickler sich nicht auf CVEs verlassen können, um Schwachstellen in Bibliotheken zu erkennen und zu beheben. So beinhalten zum Beispiel über 61 Prozent aller fehlerhaften JavaScript-Bibliotheken Schwachstellen ohne entsprechende CVEs.

Die Programmiersprache macht einen Unterschied

  • Manche Sprachen neigen dazu häufiger transitive Abhängigkeiten einzuführen als andere. In über 80 Prozent der JavaScript-, Ruby- und PHP-Anwendungen führt die Mehrheit der Bibliotheken zu transitiven Abhängigkeiten.
  • Der Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code.
  • Von den OWASP Top Ten Schwachstellen, stellen Fehler im Access Control mit 25 Prozent aller Schwachstellen die größte Menge dar. In Open-Source-Bibliotheken stellt Cross-Site-Scripting die häufigste Schwachstelle dar: sie wurde in 30 Prozent aller Bibliotheken gefunden. Weitere häufige Schwachstellen waren unsichere Deserialisierung, die in 23,5 Prozent aller Bibliotheken gefunden wurde und Broken Access Control mit 20,3 Prozent.

Den kompletten „State of Software Security: Open Source Edition“ Report finden Sie hier zum Download. Erfahren Sie außerdem mehr zu Veracodes Software Composition Analysis.

Über Veracode

Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können. Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policy-basierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.

Firmenkontakt und Herausgeber der Meldung:

Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com

Ansprechpartner:
Pete Daly
Veracode
Telefon: +1 (339) 674-1528
E-Mail: pdaly@veracode.com
Julia Bastos
Hotwire für Veracode
Telefon: +49 (89) 26208-189
E-Mail: julia.bastos@hotwireglobal.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel