Branche - geschrieben von cp am Donnerstag, Mai 28, 2020 7:21 - noch keine Kommentare
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen
Fehlerhafte Bibliotheken landen auf indirektem Wege im Code / Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code / JavaScript und Ruby haben besonders große Angriffsflächen
[datensicherheit.de, 28.05.2020] Veracode hat einen neuen Report zum Thema Sicherheit in Open-Source-Software veröffentlicht. Der Report zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle in einer ihrer Open-Source-Bibliotheken aufweisen.
Open Source in der Branche gefragt
Open Source steht in der IT-Branche hoch im Trend. Das macht die Arbeit vieler Entwicklerteams effizienter, innovativer und schneller. Selbst Microsoft plant immer mehr Quellcode seiner Software frei verfügbar zu machen. In punkto Sicherheit bietet Open Source tatsächlich auch gewisse Vorteile: ist der Quellcode für alle einsehbar, können Schwachstellen wesentlich schneller und besser identifiziert werden und der Code optimiert. Aber Sicherheit in Open Source Software hat auch seine Schattenseiten. Die schiere Masse an Code in Open-Source-Bibliotheken führt dazu, dass fehlerhafte Open-Source-Bibliotheken leichter verbreitet werden und somit mehr Anwendungen, die diese Bibliotheken einsetzen, gefährdet sind.
„State of Software Security (SoSS): Open Source Edition“-Report veröfentlicht
Vor diesem Hintergrund hat Veracode seinen neuen „State of Software Security (SoSS): Open Source Edition“-Report veröffentlicht, für den die in 85.000 verschiedenen Anwendungen enthaltenden Open-Source-Bibliotheken untersucht wurden – eine Anzahl von über 351.000 Open-Source-Bibliotheken insgesamt. Nahezu alle modernen Anwendungen, einschließlich derer, die kommerziell verkauft werden, beinhalten Open-Source-Komponenten. Dabei kann ein einziger Fehler in einer Open-Source-Bibliothek alle Anwendungen, die auf diese Bibliothek zurückgreifen, beschädigen. „Open Source Software weist eine überraschende Vielzahl an Schwachstellen auf“, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode. „Die Angriffsfläche einer Anwendung ist weder auf ihren eigenen Code, noch auf den Code von den einbezogenen Bibliotheken beschränkt, da diese wiederum von anderen Bibliotheken abhängig sind. Entwickler führen also in der Realität weitaus mehr Code in ihre Anwendungen ein, als auf den ersten Blick vermutet. Solange sich Entwickler dessen aber bewusst sind, sind sie in der Lage Fehler schneller zu beheben und können das Risiko verringern.“
Die Forscher von Veracode kamen zu folgenden Ergebnissen:
Open Source Bibliotheken sind omnipräsent und bergen Risiken
- Die am häufigsten verwendeten Bibliotheken sind in über 75 Prozent aller Anwendungen zu finden.
Viele fehlerhafte Bibliotheken (47 Prozent) landen auf indirektem Wege im Code – sprich nicht direkt vom Entwickler gezogen, sondern beruhend auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek. - Die meisten durch fehlerhafte Bibliotheken entstandenen Schwachstellen in Anwendungen können aber bereits durch kleine Versions-Updates behoben werden.
- Nicht alle Bibliotheken haben CVEs („Common Vulnerabilities and Exposures“) – das bedeutet, dass Entwickler sich nicht auf CVEs verlassen können, um Schwachstellen in Bibliotheken zu erkennen und zu beheben. So beinhalten zum Beispiel über 61 Prozent aller fehlerhaften JavaScript-Bibliotheken Schwachstellen ohne entsprechende CVEs.
Die Programmiersprache macht einen Unterschied
- Manche Sprachen neigen dazu häufiger transitive Abhängigkeiten einzuführen als andere. In über 80 Prozent der JavaScript-, Ruby- und PHP-Anwendungen führt die Mehrheit der Bibliotheken zu transitiven Abhängigkeiten.
- Der Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code.
- Von den OWASP-Top-Ten-Schwachstellen, stellen Fehler im Access Control mit 25 Prozent aller Schwachstellen die größte Menge dar. In Open-Source-Bibliotheken stellt Cross-Site-Scripting die häufigste Schwachstelle dar: sie wurde in 30 Prozent aller Bibliotheken gefunden. Weitere häufige Schwachstellen waren unsichere Deserialisierung, die in 23,5 Prozent aller Bibliotheken gefunden wurde und Broken Access Control mit 20,3 Prozent.
Weitere Informationen zum Thema:
Veracode
„State of Software Security: Open Source Edition“-Report
datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden
Aktuelles, Experten - Juli 12, 2025 10:57 - noch keine Kommentare
Stärkung der Cybersicherheit in Bund und Ländern: BSI und Baden-Württemberg kooperieren
weitere Beiträge in Experten
- Leibniz-Center for Industrial Security: CISPA fokussiert auf Zukunft der Cybersicherheit
- KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
Aktuelles, Branche, Studien - Juli 12, 2025 10:44 - noch keine Kommentare
Deepfake-Betrug verursacht finanziellen Schaden in Millionen-Höhe
weitere Beiträge in Branche
- Cyberabwehr: 74 Prozent der deutschen Unternehmen setzen bereits KI ein
- Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität
- Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren