Der neue „State of Software Security (SoSS) v11: Open Source Edition“ Report von Veracode zeigt, dass fast 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden – trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringfügig sind und die Funktionalität selbst der komplexesten Softwareanwendungen nicht beeinträchtigen.
Open-Source-Bibliotheken entwickeln sich ständig weiter. Was heute noch sicher erscheint, kann es morgen schon nicht mehr sein und ein erhebliches Risiko für Software-Anbieter und Anwender darstellen. Verarcode hat für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 einzigartigen Bibliotheken analysiert und außerdem fast 2.000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.
Der Report zeigt im Jahresvergleich bemerkenswerte Schwankungen in der Beliebtheit und Anfälligkeit von Bibliotheken auf. So waren beispielsweise vier der fünf beliebtesten Bibliotheken in Ruby des Jahres 2019 im Jahr 2020 nicht mehr in den Top 10, während sich einige der anfälligsten Bibliotheken in Go des Jahres 2019 im Jahr 2020 als weniger angreifbar erwiesen und umgekehrt. Da fast alle modernen Anwendungen mit Open-Source-Software von Drittanbietern erstellt werden, kann sich ein einziger Fehler oder eine Anpassung in einer Bibliothek kaskadenartig auf alle Anwendungen auswirken, die diesen Code verwenden. Das bedeutet, dass diese ständigen Änderungen einen direkten Einfluss auf die Softwaresicherheit haben.
Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitslücke. „Die große Mehrheit der heutigen Anwendungen verwendet Open-Source-Code“, kommentiert Chris Eng, Chief Research Officer bei Veracode. „Die Sicherheit einer Bibliothek kann sich schnell ändern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal für eine Bibliothek entschieden haben, diese nur selten aktualisieren. Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, lässt sich eine „Einstellen und Vergessen“-Mentalität jedoch nicht länger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden.“
Die Entwicklung sicherer Anwendungen mit Open-Source-Code muss nicht anstrengend sein
Trotz der dynamischen Natur der Software-Landschaft aktualisieren Entwickler Open-Source-Bibliotheken häufig nicht mehr, wenn sie diese erst einmal in Software-Anwendungen eingebunden haben. Hinderlich kann hier ein mangelndes kontextbezogenes Verständnis dafür sein, wie eine anfällige Bibliothek mit ihrer Anwendung zusammenhängt. Entwickler, die angeben, dass ihnen diese Informationen fehlen, benötigen beispielsweise mehr als sieben Monate, um 50 Prozent der Schwachstellen zu beheben. Dies verkürzt sich jedoch drastisch auf drei Wochen, wenn ihnen die richtigen Informationen und Hilfestellungen zur Verfügung stehen. Außerdem können sie schnell reagieren, wenn sie auf eine anfällige Bibliothek aufmerksam gemacht werden: 17 Prozent der Schwachstellen werden innerhalb einer Stunde behoben und 25 Prozent innerhalb einer Woche. Wenn sie also rechtzeitig mit genauen Informationen versorgt werden, können Entwickler die Sicherheit angemessen priorisieren und Schwachstellen schnell beheben.
Weitere wichtige Ergebnisse:
- 92 Prozent der Fehler in Open-Source-Bibliotheken können mit einem Update behoben werden und 69 Prozent der Updates bedeuten nur eine kleine oder kaum merkliche Versionsänderung.
- Selbst wenn ein Update einer Open-Source-Bibliothek weitere nach sich zieht, bestehen fast zwei Drittel davon nur aus kleinen Versionsänderungen und es ist unwahrscheinlich, dass sie selbst bei den komplexesten Anwendungen die Funktionalität beeinträchtigen.
- Nur 52 Prozent der befragten Entwickler verfolgen einen formalen Prozess bei der Auswahl von Bibliotheken von Drittanbietern. Gleichzeitig sind mehr als ein Viertel entweder unsicher – oder wissen erst gar nicht –, ob es einen formalen Prozess gibt.
- „Sicherheit“ steht bei der Auswahl einer Bibliothek nur an dritter Stelle, während „Funktionalität“ und „Lizenzierung“ an erster bzw. zweiter Stelle stehen.
Sicherung der Software-Lieferkette rückt in den Fokus des Weißen Hauses
Erst im vergangenen Monat hat das Weiße Haus eine „Executive Order on Cybersecurity“ veröffentlicht, die sich zu fast 25 Prozent auf die Sicherung der Software-Lieferkette konzentriert. Künftig müssen Software-Anbieter, die an die US-Regierung verkaufen, die Zusammensetzung ihrer Software offenlegen und sicherstellen, dass die Software-Anwendungen automatisierte Tests durchlaufen haben.
„Im Zuge der Umsetzung der Executive Order sollte jeder, der Software entwickelt, sicherstellen, dass er seine Software früh und oft im Entwicklungszyklus überprüft“, ergänzt Chris Wysopal, Mitbegründer und Chief Technology Officer bei Veracode. „Die wachsende Popularität von Open-Source-Software in Kombination mit immer anspruchsvolleren Entwicklungszyklen führt zu einer höheren Wahrscheinlichkeit von Software-Schwachstellen. Indem man früher im Prozess scannt, reduziert man das Risikoprofil erheblich. Außerdem sind die meisten Fehlerbehebungen geringfügig und beeinträchtigen die Funktionalität selbst der komplexesten Software nicht.“
www.veracode.com