Suche und Beseitigung von Open-Source-Sicherheitslücken:

Interview mit Jens Wollstaedter von Black Duck

Eigenentwickelte Software wird im Lizenzmanagement kaum berücksichtigt. Warum auch? Die Software gehört ja den Unternehmen, welche diese Software entwickeln. Aber ist das denn wirklich so?  Gerade bei der Verwendung von Open-Source-Komponenten bei der Entwicklung eigener bestehen vielfältige, teilweise erhebliche Risiken. Darüber sprach Marcus Schneider, Leiter Consulting bei CCP mit Jens Wollstaedter, Regional Manager Central & Eastern Europe bei Black Duck. Black Duck ist spezialisiert auf die Analyse der verwendeten Open-Source-Komponenten im Quellcode selbst erstellter Software.

CCP: Herr Wollstaedter, was macht Black Duck eigentlich genau?

Jens Wollstaedter: Black Duck hilft Unternehmen dabei, Open-Source-Komponenten in Software-Projekten zu identifizieren, diese zu inventarisieren und zu jeder dieser Komponenten bekannte Lizenzen, Qualitätsmerkmale und Sicherheitsrisiken aufzuschlüsseln.

CCP:  Wie hoch ist Ihrer Erfahrung nach der Anteil an Open-Source-Software in der Anwendungsentwicklung von Unternehmen?

Jens Wollstaedter: Die Nutzung von Open-Source-Software ist ein essentieller Bestandteil der Anwendungsentwicklung. 96% der Anwendungen, die in unserer Analyse gescannt wurden, nutzten Open-Source-Code. Allgemein ist ein Anstieg der Nutzung von Open-Source-Code in der Anwendungsentwicklung zu verzeichnen.

CCP: Black Duck hat eine Studie zur Analyse von Security und anderen Risiken durchgeführt. Auf Basis dieser Studie, wo sehen Sie die größten Risiken bei der Verwendung von Open-Source-Komponenten in selbst entwickelter Software?

Jens Wollstaedter: Beim Einsatz von Open-Source-Komponenten gibt es zwei ganz entscheidende Fragen, die sich jedes Unternehmen stellen sollte. Zum einen, ist das Distributionsmodell meiner Software im Einklang mit der Lizenz der genutzten Komponente und zum anderen, wie sicher ist diese Komponente? Wir sehen häufig, dass sich Unternehmen vor allem darauf fokussieren, ob sie compliant sind und nicht gegen das Lizenzrecht verstoßen, dass sie aber das Sicherheitsthema dabei weitestgehend außer Acht lassen.

CCP: Open-Source-Software gilt gemein hin als recht zuverlässig und sicher. Steht Open Source für Angreifer besonders im Fokus?

Jens Wollstaedter: Durch die rasante Verbreitung in Software-Projekten, rückt Open Source immer mehr in den Fokus krimineller Organisationen. Wir verzeichnen seit Jahren einen starken Anstieg, sogenannter zielgerichteter Angriffe, auf Applikationen welche Open-Source-Komponenten enthalten.

CCP: Unternehmen verfügen über interne Sicherheitsprogramme und setzen entsprechende Tools ein, um mögliche Schwachstellen zu finden. Wie effektiv sind diese Tools?

Jens Wollstaedter: Diese Tools sind nützlich bei der Identifizierung von gewöhnlichen Programmierfehlern, die zu Sicherheitsproblemen führen könnten. Sie sind aber erwiesenermaßen ineffektiv, wenn es um die Identifizierung von Schwachstellen durch Open-Source-Komponenten geht. Zum Beispiel enthalten über 4 % der getesteten Anwendungen die Poodle-Anfälligkeit; über 4 % enthielten die für Freak; und über 3,5 % eine für Drown. Sogar Heartbleed, vielleicht die bekannteste Schwachstelle von allen, wurde in über 1,5 % der Codebasen gefunden, mehr als zwei Jahre nachdem sie offengelegt wurde.

CCP: Bedeutet das, Unternehmen nehmen die Bedrohungen nicht wahr bzw. bereiten sich auf etwaige Angriffe nicht genügend vor?

Jens Wollstaedter: Ja, leider ist das der Fall. Bekannte Open-Source-Schwachstellen wurden in über 67% der Anwendungen, die Open-Source-Komponenten verwenden, gefunden. Des Weiteren sind diese Schwachstellen (und in vielen Fällen die damit verbundenen Exploits) im Schnitt seit 1.527 Tagen veröffentlicht, wodurch potentiellen Hackern ein ausgereiftes Ziel gegeben wird.

CCP: Bestehen neben den Sicherheitsrisiken noch weitere Risiken beim Einsatz von Open-Source-Software?

Jens Wollstaedter: Neben den bekannten Sicherheitsrisiken ist es wichtig, die Relevanz der Lizenz-Compliance-Problematik von Open Source zu erkennen, um Risiken zu verringern. Die in der Studie untersuchten Anwendungen enthielten durchschnittlich 147 Open-Source-Komponenten. Die Wahrscheinlichkeit ist also groß, dass es ohne automatisierte Prüfung zu Lizenzkonflikten kommt.

CCP: Welche Maßnahmen können Unternehmen ergreifen, um die Risiken für sich selbst zu bewerten und einzugrenzen?

Jens Wollstaedter: Unternehmen sollten schon früh in der Entwicklung ihrer Softwareprojekte auf Tools zurückgreifen, die eine genaue Übersicht über die verwendeten Open Source Komponenten sowie aller damit verbunden Risiken aufzeigen. Nur so kann man zeitnah und kosteneffizient handeln.

CCP: Wie lässt sich ein abschließendes Fazit der Studie zusammenfassen?

Jens Wollstaedter: Da die Open-Source-Nutzung weiter zunimmt lässt sich generell sagen, dass das effektive Verwalten der Sicherheits- und Compliance-Risiken von Open Source immer wichtiger wird. Organisationen können maximalen Nutzen aus Open-Source-Software ziehen und Risiken effektiv managen, wenn sie Prozesse und automatisierte Lösungen wie die von Black Duck in ihren Software Development Lifecycle (SDLC) integrieren.

Hier können Sie die Studie downloaden.