Maksim Kabakou - Fotolia

Veraltete Open-Source-Komponenten gefährden kommerzielle Anwendungen

Die Nutzung von Open-Source-Komponenten in kommerziellen Anwendungen ist Standard. Und das diese mit Sicherheitslücken behaftet sind, scheinbar auch.

Black Duck Software hat im Jahr 2016 rund 1000 kommerzielle Anwendungen auch im Hinblick auf die Open-Source-Verwendung und Sicherheit analysiert. Diese Audits finden meist im Zusammenhang mit Übernahmen oder Fusionen statt. Die Ergebnisse hat das Unternehmen in seiner Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 veröffentlicht.

Zahlreiche der untersuchten kommerziellen Anwendungen verwenden auf irgendeine Art und Weise Open-Source-Komponenten, so enthielten 96 Prozent der untersuchten Applikationen Open-Source-Bestandteile. Zu den meist verwendeten Komponenten gehören jQuery, Bootstrap, JUnit, Apache Log4j oder auch Apache Commons Lang. So war jQuery beispielsweise in knapp 58 Prozent der untersuchten Applikationen vertreten. Mit Hilfe von jQuery ist die Umsetzung von JavaScript auf Websites einfacher zu realisieren.

Rund 60 Prozent der untersuchten Anwendungen enthielten Open-Source-Sicherheitslücken. Dies sei oftmals auf die Verwendung veralteter Versionen der entsprechenden Komponenten zurückzuführen. Häufig sind diese Schwachstellen seit Jahren bekannt. Dabei würde es sich oftmals um bekannte Sicherheitslücken handeln, einige davon sind hochkritisch. Exemplarisch für entsprechende Komponenten seien hier Apache Commons FileUpload, Apache Commons Collections oder auch das Spring Framework genannt. Viele dieser Komponenten sind in rund zehn Prozent der untersuchten Anwendungen vertreten und wiesen mehr als eine kritische Sicherheitslücke auf.

E-Commerce und Finanzbranche mit Schwachstellen

Ausgerechnet die Einzelhandels- und E-Commerce-Branche verzeichnete den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen – 83 Prozent der untersuchten Applikationen wiesen Hoch-Risiko-Sicherheitslücken auf. Wenig beruhigender ist das Ergebnis, dass in Anwendungen aus der Finanzbranche 52 Open-Source-Schwachstellen pro Anwendung gefunden wurden. Und rund 60 Prozent dieser Applikationen wiesen Hoch-Risiko-Sicherheitslücken auf. Unsichere Versionen von Apache Tomcat oder OpenSSL waren laut Black Duck aber in nahezu allen Branchen anzutreffen.

Abseits der Untersuchung auf Schwachstellen hat Black Duck auch das Thema Lizenzierung näher betrachtet. Und hier wird offensichtlich oftmals gegen die Vorgaben der jeweiligen Lizenz verstoßen. Am häufigsten sei man auf Probleme mit der General Public License gestoßen. So enthielten 75 Prozent der Anwendungen Komponenten gemäß GPL, aber nur 45 Prozent der Applikationen würden die GPL-Vorgaben einhalten.

Black Duck Software -  Open-Source-Sicherheits- und Risikoanalyse 2017
Abbildung 1: Die Nutzung von Open-Source-Komponenten in kommerziellen Anwendungen ist gang und gäbe. Oftmals kommen jedoch veraltete Versionen mit bekannten Schwachstellen zum Einsatz.

„Open Source Nutzung ist weltweit allgegenwärtig, und jüngste Forschungsberichte zeigen, dass zwischen 80 Prozent und Prozent des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung. Unsere Audit-Ergebnisse bestätigen diesen universellen Nutzen, offenbaren aber auch ein beunruhigendes Niveau von Ineffektivität, wenn es um die Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht ", so Black Duck CEO Lou Shipley.

Den vollständigen Report Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 kann man hier gegen Registrierung herunterladen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die am häufigsten ausgenutzten Software-Schwachstellen

Angriffspunkt Open-Source-Software

Die besten Tools fürs Schwachstellen-Management – ein Vergleich

Rund 1000 deutsche Online-Shops von Online-Skimming betroffen

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close