open source security

Open-Source-Softwaresicherheit könnte sich bald verbessern

Druckfreundlich, PDF & E-Mail

Das Verhältnis zwischen Cybersecurityexperten und Softwareentwicklern war immer etwas angespannt, da viele der Sicherheitskrisen, die Unternehmen erschüttern, auf Schwachstellen in Anwendungen zurückgeführt werden können. Manchmal ist diese Schwachstelle ein echter Fehler, während in anderen Fällen das Problem darin besteht, dass in C oder C++ geschriebene Legacy-Anwendungen anfällig für Überlauf-Angriffe sind.

Nach einer Reihe von Sicherheitsverletzungen, die große Beachtung in den Medien fanden, achten die Leute glücklicherweise heutzutage mehr auf die Anwendungssicherheit. Die Aufmerksamkeit richtet sich dabei vor allem auf Open-Source-Software, wie z. B. das weit verbreitete Log4j-Protokollverwaltungstool für Java-Anwendungen, bei dem kürzlich kritische Schwachstellen festgestellt wurden, die viele Unternehmen noch immer nicht beseitigen konnten. Diese besondere Krise führte die Biden-Administration dazu, eine Verfügung zu erlassen, die Prozessverbesserungen zur Aufrechterhaltung der Anwendungssicherheit für Bundesbehörden vorsieht. Bald darauf folgte ein Treffen, bei dem die Administration die Führungskräfte der Open-Source-Community aufforderte, Wege zu finden, die Open-Source-Software sicherer zu machen.

Ein Plan für bessere Security

Die Open Source Security Foundation (OpenSSF), ein Zweig der Linux Foundation, hat jetzt einen Plan für die Sicherung von Open-Source-Software vorgelegt, der sich auf 10 Investitionsströme in Höhe von insgesamt über 150 Mio. US-Dollar konzentriert. Es wird erwartet, dass diese Finanzierung alles betrifft, von der Sicherheitsschulung für Entwickler über die Entwicklung kostenloser Tools zur Codeanalyse vor der Bereitstellung in einer Produktionsumgebung bis hin zur Einrichtung eines Incident-Response-Teams, das beispielsweise die Zeit für das Patchen neu entdeckter Zero-Day-Schwachstellen reduzieren würde. Das zur Erreichung dieses Ziels erforderliche Geld wird voraussichtlich sowohl von Regierungen auf der ganzen Welt als auch von Unternehmen bereitgestellt, die heute in großem Umfang Open-Source-Software nutzen.

Auch wenn 150 Mio. US-Dollar nach einer Menge Geld klingen mag, ist diese Summe im Vergleich zu den wirtschaftlichen Schäden, die eine einzelne Schwachstelle wie Log4jShell bereits verursacht hat, verschwindend gering. Multiplizieren Sie diesen Betrag mit Open-Source-Softwareprojekten, die zu ähnlichen Zero-Day-Schwachstellen neigen können, dann liegt es auf der Hand, dass 150 Mio. US-Dollar ein relativ kleiner Betrag zur Reparatur einer Software ist, von der Wirtschaftsräume in Billionenhöhe auf der ganzen Welt abhängen. Nicht wenige Cybersicherheitsexperten fragen sich zu Recht, warum es so lange gedauert hat, bis die Software-Community erkannt hat, wie hoch das wahre Risiko für die Weltwirtschaft ist.

Wichtige Erinnerungen

Natürlich wird keine der vorgeschlagenen Abhilfemaßnahmen sofortige Auswirkungen zeigen. Das Problem jahrzehntelanger Abhängigkeit von fehlerhaften Werkzeugen und Methoden zur Anwendungserstellung wird nicht über Nacht gelöst. Jedoch können sich Cybersecurity-Experten mit der Tatsache trösten, dass sich die Anwendungssicherheit in den kommenden Monaten und Jahren verbessern dürfte.

In der Zwischenzeit sollten Cybersicherheitsexperten die Entwickler daran erinnern, dass sie keinen von Fremden zur Verfügung gestellten Code wiederverwenden sollten, egal wie cool oder beliebt ein Open-Source-Projekt auch sein mag. Die größte Bedrohung für Softwarelieferketten ist heute die einfache Tatsache, dass Entwickler zu viel Vertrauen in die Integrität der Repositorys haben, aus denen sie oft unbedacht Code kopieren und in Anwendungen einfügen. Dann verbringen sie und die sie unterstützenden Cybersecurityteams Monate mit der Suche nach Instanzen dieses Codes, wenn unweigerlich wieder eine Zero-Day-Schwachstelle entdeckt wird.

Nach oben scrollen
Twittern
Teilen
Teilen