Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

News

Studie warnt: Open Source oft ein Sicherheitsrisiko

    Studie warnt: Open Source oft ein Sicherheitsrisiko

(Grafik: Black Duck)

Viele der in kommerziellen Anwendungen verwendeten Open-Source-Komponenten stellen ein Sicherheitsrisiko dar. Betroffen sind ausgerechnet die Branchen E-Commerce, IT-Infrastruktur und Fintech.

Kommerzielle Software verwendet veraltete Open-Source-Komponenten

Black Duck, Spezialist für Open-Source-Audits, hat über 1.000 kommerzielle Anwendungen im Hinblick auf den Einsatz von Open-Source-Komponenten unter die Lupe genommen. Die Ergebnisse der „Open-Source-Sicherheits- und Risikoanalyse“ 2017 sind alarmierend. Denn ein großer Teil der untersuchten Softwareprodukte verwendet veraltete Versionen von Open-Source-Komponenten. Es fanden sich auch noch eigentlich schon gefixte Sicherheitslücken.

Vorsicht beim Einsatz von Open-Source-Komponenten. (Bild: Shutterstock / Rawpixel.com)

Etwa ein Drittel des Codes der untersuchten Anwendungen stammt Black Duck zufolge aus Open-Source-Projekten wie jQuery, Bootstrap, JUnit oder Apache Log4j. Diese fanden sich allerdings in vielen Fällen (zwei Drittel der Anwendungen) in veralteten Versionen – mit bekannten Sicherheitslücken. So wurde in immerhin 1,5 Prozent der untersuchten Anwendungen der schon vor drei Jahren gestopfte OpenSSL-Bug Heartbleed gefunden.

Open Source: Banking-Apps im Schnitt mit 52 Schwachstellen

Anwendungen mit Sicherheitslücken aus Open-Source-Komponenten fanden sich interessanterweise vor allem in den Branchen Handel und E-Commerce, in Internet- und Software-Infrastruktur-Projekten sowie bei Apps von Finanzdienstleistern und Fintechs. Laut Black Duck hat etwa jede Banking-App im Schnitt 52 Open-Source-Schwachstellen. 60 Prozent dieser Apps haben mindestens eine kritische Lücke.

Ebenfalls kritisch beleuchtet wurde die Einhaltung der Lizenzbestimmungen der verwendeten Open-Source-Komponenten in kommerzieller Software. Der Studie nach werden bei 85 Prozent der Anwendungen die Lizenzbestimmungen nicht vollständig eingehalten. Rund die Hälfte der Anwendungen setzt laut Black Duck externen Code ein, dessen Lizenz nicht bekannt ist. Die Black-Duck-Studie steht hier zum Download zur Verfügung (Registrierung erforderlich).

Mehr zum Thema:

via www.heise.de

Finde einen Job, den du liebst

5 Reaktionen
YoSiJo
YoSiJo

Kurz und knapp? Der Titel ist mMn eine bewusste Irreführung und schädigt das ansehen t3n.

Antworten
Thomas
Thomas

Kann mich jemand aufklären wie eine Sicherheitslücke in jQuery oder auch Bootstrap aussehen sollte? Wo decken diese Frontendkomponenten denn sicherheitskritische Aufgaben ab? Leuchtet mir nicht ein.

Antworten
simona
simona

Äußerst schwacher Artikel, der nicht mal das Problem richtig analysiert. Das Hauptproblem ist nicht Open Source sondern fehlende Updatemöglichkeiten. Insbesondere bei IoT hat der Kunde kaum Möglichkeiten bekannte Sicherheitslücken überhaupt zu beheben. Die Lücken sind im Open Source längst behoben aber die Firmen stellen keine neue Firmeware für ihre Geräte her. Koste ja Geld und der Kunde soll sich lieber ein neues Gerät kaufen. Das schädigt nicht nur die Umwelt sondern auch die Sicherheit und hat nichts mit Open Source zu tun.

Antworten
Dominik

Die Überschrift "Studie warnt: Open Source oft ein Sicherheitsrisiko" ist leider sehr irreführend und stimmt auch m.E. nicht mit dem Artikelinhalt überein.

Nicht open source ist hier das Sicherheitsrisiko, sondern die - mit Verlaub - verkackte updatepolitik kommerzieller Softwarehersteller. Sobald erst einmal Geld verdient wird, sind Updates, die in erstem Ermessen keinen direkten "Gewinn" bringen, plötzlich auch schon nur noch halb so wichtig. Alternativ wurde es so hingefrickelt, dass ein Update nicht möglich ist. Viel zu oft erlebt, das.

Jedenfalls hat es einen Grund, warum - gerade im deutschen e-commerce-sektor - Player wie Zalando und Otto versuchen, nur noch direkt opensource-software zu nutzen (siehe z.B. Talk von Stefan Tilkov und Oliver Wegner von Otto) und teilw. ihre eigene SW-Entwicklungen unter open source stellen - siehe z.b. das sehr interessante http://www.mosaic9.org von zalando.

Disclaimer: Nein, ich bin mit keiner erwähnten Firma verwandt oder verschwägert. Just the usual sw-dev crying 'bout the incompetence of the industry.

tl;dr: Leute, Der Titel geht gar nicht. Nicht open source ist das problem, sondern die verkackte Updatepolitik irgendwelcher Firmen.

Antworten
Rolf
Rolf

Ja, das ist der leider immer öfter zu beobachtende "Bild-Stil", der einer objektiven Berichterstattung im Weg steht.

Antworten
Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden