Veracode 23.06.2021, 08:38 Uhr

Open-Source-Bibliotheken: 80 Prozent werden nie aktualisiert

Veracode-Report: 80 Prozent der Open-Source-Bibliotheken werden nie aktualisiert. Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitslücke. Es mangelt an einer guten Sicherheitsstrategie.
(Quelle: veracode.com)
Der neue "State of Software Security (SoSS) v11: Open Source Edition" Report von Veracode zeigt, dass fast 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden – trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringfügig sind und die Funktionalität selbst der komplexesten Softwareanwendungen nicht beeinträchtigen. Verarcode hat für den Report 13 Millionen Scans von mehr als 86000 Repositories mit mehr als 301000 einzigartigen Bibliotheken analysiert und außerdem fast 2000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.
Der Report zeigt im Jahresvergleich bemerkenswerte Schwankungen in der Beliebtheit und Anfälligkeit von Bibliotheken auf. So waren beispielsweise vier der fünf beliebtesten Bibliotheken in Ruby des Jahres 2019 im Jahr 2020 nicht mehr in den Top 10, während sich einige der anfälligsten Bibliotheken in Go des Jahres 2019 im Jahr 2020 als weniger angreifbar erwiesen und umgekehrt. Da fast alle modernen Anwendungen mit Open-Source-Software von Drittanbietern erstellt werden, kann sich ein einziger Fehler oder eine Anpassung in einer Bibliothek kaskadenartig auf alle Anwendungen auswirken, die diesen Code verwenden. Das bedeutet, dass ständige Änderungen einen direkten Einfluss auf die Softwaresicherheit haben.
Chris Eng, Chief Research Officer bei Veracode: "Die große Mehrheit der heutigen Anwendungen verwendet Open-Source-Code. Die Sicherheit einer Bibliothek kann sich schnell ändern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal für eine Bibliothek entschieden haben, diese nur selten aktualisieren. Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, lässt sich eine 'Einstellen und Vergessen'-Mentalität jedoch nicht länger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden."
Trotz der dynamischen Natur der Software-Landschaft aktualisieren Entwickler Open-Source-Bibliotheken häufig nicht mehr, wenn sie diese erst einmal in Software-Anwendungen eingebunden haben. Hinderlich kann hier ein mangelndes kontextbezogenes Verständnis dafür sein, wie eine anfällige Bibliothek mit ihrer Anwendung zusammenhängt. Entwickler, die angeben, dass ihnen diese Informationen fehlen, benötigen beispielsweise mehr als sieben Monate, um 50 Prozent der Schwachstellen zu beheben. Dies verkürzt sich jedoch drastisch auf drei Wochen, wenn ihnen die richtigen Informationen und Hilfestellungen zur Verfügung stehen. Außerdem können sie schnell reagieren, wenn sie auf eine anfällige Bibliothek aufmerksam gemacht werden: 17 Prozent der Schwachstellen werden innerhalb einer Stunde behoben und 25 Prozent innerhalb einer Woche. Werden sie also rechtzeitig mit genauen Informationen versorgt, können Entwickler die Sicherheit angemessen priorisieren und Schwachstellen schnell beheben.
Weitere Ergebnisse der Studie:
  • 92 Prozent der Fehler in Open-Source-Bibliotheken können mit einem Update behoben werden und 69 Prozent der Updates bedeuten nur eine kleine oder kaum merkliche Versionsänderung.
  • Selbst wenn ein Update einer Open-Source-Bibliothek weitere nach sich zieht, bestehen fast zwei Drittel davon nur aus kleinen Versionsänderungen und es ist unwahrscheinlich, dass sie selbst bei den komplexesten Anwendungen die Funktionalität beeinträchtigen.
  • Nur 52 Prozent der befragten Entwickler verfolgen einen formalen Prozess bei der Auswahl von Bibliotheken von Drittanbietern. Gleichzeitig sind mehr als ein Viertel entweder unsicher – oder wissen erst gar nicht –, ob es einen formalen Prozess gibt.
  • "Sicherheit" steht bei der Auswahl einer Bibliothek nur an dritter Stelle, während "Funktionalität" und "Lizenzierung" an erster beziehungsweise zweiter Stelle stehen.
Weitere Informationen finden Sie unter veracode.com. Den Security-Report zum Download finden Sie hier (persönliche Daten werden abgefragt).


Das könnte Sie auch interessieren