Sichere Open-Source-Software: Eine kollektive Verantwortung

Eine sichere und aktive Open-Source-Community ist nicht nur für Open-Source-Software an sich bedeutsam, sondern kommt auch den Millionen von kritischen Technologien zugute, die von dieser abhängig sind. Die Sicherheit der weltweiten Software ist somit schon längst eine kollektive Gemeinschaftsaufgabe und liegt in unserer aller Verantwortung.

Heutige Softwareentwicklungsprojekte enthalten zu 99 Prozent Open-Source-Software. Entsprechend unseres aktuellen GitHub State of the Octoverse-Reports vom Oktober 2019 weist ein durchschnittliches Softwareprojekt dabei Abhängigkeiten von über 200 weiteren Komponenten auf. Zwar verkürzt die Integration von Open-Source-Abhängigkeiten die Zeit bis zur Markteinführung ungemein, bringt jedoch zugleich auch vererbte Sicherheitsrisiken mit sich. So zeigt sich allein in den letzten fünf Jahren ein Anstieg an Sicherheitslücken im Zusammenhang mit Open Source von 71 Prozent. Das Problem liegt dabei jedoch nicht etwa in der Verwendung von Open-Source-Software oder in Kompromissen innerhalb der Softwarelieferkette. Vielmehr ist es im Bereich ungepatchter Software zu finden.

In dieser Situation ist es vor allem entscheidend - und zwar für Privatpersonen wie auch für Entwickler im Unternehmensumfeld - die veralteten, nicht gepatchten Abhängigkeiten schnellstmöglich zu aktualisieren. Denn das größte Problem dieser veralteten Abhängigkeiten liegt darin, dass diese Sicherheitslücken enthalten können oder eben bereits so alt sind, dass sie gar keine kritischen Patches mehr erhalten. Sollte eine der Abhängigkeiten Schwachstellen aufweisen, dann hat dies direkte Auswirkungen auf den eigenen Code. Der einfachste Weg das Problem zu beheben, liegt dann in einem Update.

Um Open Source für alle sicherer zu machen, ist eine kontinuierliche Zusammenarbeit innerhalb der weltweiten Community gefragt. Es braucht eine Vielzahl von Entwicklern und Sicherheitsforschern, die dank ihres individuellen Backgrounds ihr individuelles Spezialwissen einbringen und gemeinsam den Code durchsuchen, Änderungsvorschläge unterbreiten, Schwachstellen finden, auf diese hinweisen und sie sogleich beheben. So ermöglicht es das Zusammenspiel der gesamten Community, dass innovative Projekte mit sicherem Code entstehen.

Und genau das ist es, was schlussendlich die Power von Open Source ausmacht: Denn nicht selten arbeiten so hunderte (oder gar tausende) Personen aus verschiedensten Regionen, Zeitzonen und kulturellen Backgrounds gemeinsam an einem Projekt. Dadurch spiegeln sie nicht nur den Kern der Innovationskraft von Open Source wieder sondern sorgen gleichzeitig auch dafür, dass der Code insgesamt sicherer wird. Um hierbei die Sicherheit der weltweiten Software zu stärken, müssen wir es Entwicklern, Maintainern, Unternehmen und Forschern ermöglichen, so einfach wie möglich zusammenzuarbeiten. Indem wir diese Schritte so weit wie möglich automatisieren, können wir der Gemeinschaft helfen.

Als Open-Source-Plattform mit mehr als 50 Millionen Entwicklern wissen wir, dass uns eine wichtige Rolle bei der Gewährleistung der Sicherheit des Codes zukommt. Allein im vergangenen Jahr wurden durch das automatische Scannen auf Sicherheitslücken auf GitHub 12,3 Millionen Warnmeldungen an Entwickler verschickt und von diesen im Anschluss behoben. Außerdem haben wir unsere sicheren Entwicklungsprozesse weiter automatisiert, indem wir den Code bereits während der Entwicklungs- und Testphasen kontinuierlich nach Schwachstellen durchsuchen.

Durch das “Verschieben der Sicherheit nach links" (Shift Left) sind die Entwickler in der Lage, Sicherheitsprobleme bereits in der Entwicklungsphase zu finden, anstatt sie erst im Nachhinein beim Testen zu erkennen. Die Verwendung von automatisiertem Code Scanning ermöglicht dabei das Aufdecken von Software-Schwachstellen viel früher im Prozess, weit bevor der Code in den Produktionszyklus gelangt.

Open-Source-Software bildet heute die Grundlage für den Großteil der modernen Software, die uns umgibt. Ihr kollaborativer Charakter gilt dabei als einer der größten Vorteile, wenn es um die Frage der Sicherheit der Software geht. Aber: Diese Sicherheit liegt in der Verantwortung eines jeden Einzelnen und kann nicht auf einige wenige ausgelagert werden. Für alle Teilnehmer der Open-Source-Gemeinschaft - vom einzelnen Programmierer bis hin zu großen Konzernen - gilt es, nicht nur sichere Praktiken über den gesamten Entwicklungs-Lifecycle hinweg zu nutzen, zu fördern und weiterzuentwickeln, sondern darüber hinaus auch stetig Feedback, Ideen und Ressourcen an die Open-Source-Gemeinschaft zurückzugeben, um so gemeinsam eine sicherere digitale Welt zu schaffen, die schlussendlich allen zugutekommt.