Black-Duck-Studie zeigt: Open-Source Komponenten gefährden die Sicherheit vieler Anwendungen

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

Über die 8com GmbH & Co. KG

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen für Informationssicherheit in Europa. Seit zwölf Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Bei den hochspezialisierten Mitarbeitern handelt es sich um Penetrationstester, Information Security Consultants und Information Security Awareness-Spezialisten. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Prüfungen werden bei 8com von professionellen Auditoren durchgeführt, die über umfangreiches Wissen der praktischen IT-Sicherheit verfügen. Die Experten der 8com sind darauf spezialisiert, in Netzwerke einzudringen. Sie sind professionelle Hacker auf der richtigen Seite des Gesetzes. Alle Leistungen dienen der präventiven Abwehr von Hacking-Angriffen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: info@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel