Ist Open Source sicher?

Tim Mackey, der leitende Sicherheitsstratege im Synopsys Cybersecurity Research Centre, beantwortet eine Frage, die viele IT-Spezialisten beunruhigt: Ist Open Source sicher?
Tim Mackey, der leitende Sicherheitsstratege bei der Synopsys Cybersecurity Research Centre, beantwortet eine Frage, die viele IT-Spezialisten beunruhigt: Ist Open Source sicher?

Da neue Schwachstellen gegen Open-Source-Komponenten offengelegt und neue Angriffe gegen Repositories von Open-Source-Komponenten und sogar gegen Open-Source-Entwicklungsmethoden gestartet werden, ist es wichtig, die Frage zu stellen: Wie sicher sind Open-Source-Komponenten?

Um diese Frage zu beantworten, müssen wir zunächst einige Parameter definieren. Dies ist von entscheidender Bedeutung, da Open-Source-Technologien die moderne Softwareentwicklung vorantreiben. Tatsächlich gibt es nur sehr wenige Softwareanwendungen und -dienste, die nicht zumindest einige Open-Source-Elemente enthalten.

Open-Source-Komponenten reichen von grundlegenden, wie z. B. Diensten, die die Uhren von Servern, Mobiltelefonen und Computern synchron halten, oder Verschlüsselungsbibliotheken, die zur Sicherung des Internetverkehrs verwendet werden, über verschiedene Softwareentwicklungskits, die schnelle Innovationen im IoT ermöglichen, bis hin zu einfachen Dienstprogrammen, die entwickelt wurden einfachere Automatisierung gängiger Aufgaben wie der Softwarebereitstellung. Alle diese Millionen von Open-Source-Projekten haben eines gemeinsam – der Quellcode ist frei herunterladbar und jeder kann ohne Zustimmung der Projektbesitzer ein Derivat des Hauptprojekts erstellen.

Es ist diese Freiheit, die Innovation antreibt und ein Risiko darstellt. Denn wenn jemand ein Derivat eines Projekts erstellen kann, muss das bedeuten, dass Angreifer jederzeit jedes Projekt fälschen können. Der Endpunkt dieses Arguments ist, dass Open Source „unsicher“, mangelhaft oder in irgendeiner Weise unsicher sein muss.

Der Kontrapunkt ist, dass kommerzielle Software aufgrund strengerer Kontrollen oder größerer Ressourcen irgendwie sicherer ist. Was diejenigen, die dieses Argument vorbringen, nicht erkennen, ist, dass kommerzielle Software im Durchschnitt zu 70 % aus Open Source besteht, aber noch wichtiger ist, dass jede Software Fehler enthält und kein Softwareentwicklungsprozess perfekt ist.

Um diesen Punkt weiter voranzutreiben, von den über 1,500 Codebasen, die in der gescannt wurden 2021 Open-Source-Sicherheits- und Risikoanalyse (OSSRA) Bericht enthielten 98 % Open Source. Darüber hinaus enthielten 84 % der gescannten Codebasen mindestens eine Schwachstelle – eine Steigerung von 9 % gegenüber den Ergebnissen der Vorjahre.

Da jede Software Fehler enthält, können Fehler ausgenutzt und selbst die sicherste Software auf unsichere Weise eingesetzt werden. Warum also taucht die Sicherheit von Open Source immer wieder auf? Nun, wenn Open-Source-Komponenten gut genug sind, damit kommerzielle Softwareanbieter sie verwenden können, muss das etwas bedeuten? Und wenn Open-Source-Technologien für die Größten gut genug sind Cloud Anbieter, das muss doch auch was heißen, oder? Was wissen sie, was diejenigen, die Sicherheitsfragen stellen, nicht wissen?

Es stellt sich heraus, dass das Kernproblem Vertrautheit und, nun ja, Schuld ist. Es gibt keinen Anbieter, der als „Open Source“ bekannt ist. Das bedeutet zum Teil, dass, wenn jemand eine Open-Source-Lösung beschaffen möchte, kein Vertrag unterschrieben werden muss und folglich nichts für die Beschaffungsteams des Unternehmens zu tun ist. Da die Beschaffungsteams von Unternehmen oft die Torwächter für Compliance innerhalb des Unternehmens sind, bedeutet dies, dass jeder Compliance umgehen kann, und das ist eine schlechte Sache. Stellen Sie sich das Chaos vor, wenn jeder die benötigte Software kostenlos herunterladen könnte, ohne dass IT oder Beschaffung involviert sind.

Während sich dieser letzte Satz wie ein Augenzwinkern liest, ist die Realität, dass jede Software, die ohne Beteiligung der IT in ein Unternehmen gelangt, wahrscheinlich nicht gepatcht wird. Und das Patch-Management in Open Source ist ganz anders als bei kommerzieller Software. Da es keinen einzelnen Ursprungspunkt für eine Open-Source-Komponente gibt, ist es wichtig, nachzuverfolgen, woher jede Komponente oder Anwendung heruntergeladen wurde. Von dort müssen alle Patches oder Updates kommen.

Da wir alle wissen, wie wichtig das Patchen für die Sicherheit ist, stellt das Vorhandensein ungepatchter Open-Source-Komponenten in Ihrem Unternehmen ein Risiko dar, insbesondere angesichts der Tatsache, dass Open-Source-Software ohne Beteiligung der IT kostenlos heruntergeladen werden kann.

Kennt man die Herkunft der Open-Source-Komponente, kann man nicht nur eine Patch-Strategie dafür erstellen (Tipp: Updates funktionieren anders als bei kommerzieller Software), sondern auch die Sicherheit der Komponente einschätzen. Bauteilsicherheit bezieht sich in diesem Zusammenhang darauf, wie das Bauteil tatsächlich entwickelt wird.

Häufige Fragen, die Sie sich an dieser Stelle stellen sollten, sind:

  • Bin ich an einem wahren Ursprung oder auf einer Gabelung? Wahre Ursprünge stellen den Hauptentwicklungsaufwand für die Komponente dar, und ein Fork ist ein beliebiger Zweig der Komponente. Sofern Sie keinen wirklich guten Grund haben, einen Fork zu verwenden, sollten Sie immer den wahren Ursprung der Komponente verwenden, der auch als „Upstream“ bezeichnet wird.
  • Verfügt die Komponente über eine klar definierte Sicherheitsrichtlinie? Nur die beliebtesten Open-Source-Projekte verfügen über eine solche Richtlinie, und die Richtlinie beschreibt, wie Sicherheitsvorfälle verwaltet werden.
  • Gibt es ein wohldefiniertes Beitragsmodell? Open-Source-Projekte gedeihen, wenn es aktive Mitwirkende gibt, aber wenn es kein definiertes Beitragsmodell gibt, gibt es wahrscheinlich keine Kriterien dafür, wie ein qualitativ hochwertiger Beitrag aussieht. Einige Beitragsrichtlinien legen explizit Testanforderungen für jeden Beitrag fest.
  • Wer sind die Top-Beitragenden? Jede Software hat Mitwirkende, aber nicht jeder Mitwirkende versteht den gesamten Quellcode. Wenn die Top-Beitragenden neu im Projekt sind, könnte dies auf eine Verschiebung der Entwicklungsprioritäten hinweisen oder darauf, dass langjährige Mitwirkende das Projekt verlassen haben.

Obwohl es keinen wirklichen Unterschied in der Sicherheit von Open-Source- und kommerzieller Software gibt, ist die Realität so, dass es in verschiedenen Branchen mehrere Sicherheitsstandards gibt und alle Software, unabhängig von ihrer Herkunft, anhand geltender Standards überprüft werden muss.

WEITERLESEN:

Für Anwendungen, bei denen es keine Sicherheitsstandards gibt, ist die Frage der Sicherheit wirklich eine des Managements. Können Ihre Teams garantieren, dass sie Open-Source-Komponenten patchen können und die Änderungen in allen Updates überprüfen? Wenn Sie keinen guten Open-Source-Verwaltungsprozess eingerichtet haben, sollte die Sicherheit einzelner Komponenten keine oberste Priorität haben.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter

Amber Donovan-Stevens

Amber ist Inhaltsredakteurin bei Top Business Tech

Warum ABM der Schlüssel zur Stärkung Ihrer Marketingstrategie ist

Erin Lanahan • 16. Mai 2024

Account-Based Marketing (ABM) revolutioniert das B2B-Marketing, indem es mit personalisierten Strategien hochwertige Accounts anspricht. Im Gegensatz zu herkömmlichen Methoden konzentriert sich ABM auf bestimmte Unternehmen und liefert maßgeschneiderte Inhalte, die ihren individuellen Bedürfnissen entsprechen. Dieser Ansatz steigert nicht nur den ROI, sondern stärkt auch die Kundenbeziehungen und fördert das langfristige Wachstum. Durch die Abstimmung von Marketing- und Vertriebsbemühungen sorgt ABM für eine einheitliche...

Überwindung der Hindernisse für die Einführung von KI

Kit Cox • 02. Mai 2024

Die Leistungsfähigkeit der KI in Kombination mit geeigneten Anwendungsfällen und einem robusten Implementierungsplan kann Unternehmen dabei helfen, den Zeitaufwand für manuelle, sich wiederholende Aufgaben drastisch zu reduzieren und es Teams zu ermöglichen, wertschöpfende Arbeiten zu priorisieren. Aber bei all der Aufregung wird deutlich, dass viele Unternehmen durch Trägheit und Unverständnis über ... zurückgehalten werden.

Wie prädiktive KI dem Energiesektor hilft

Colin Gault, Produktleiter bei POWWR • 29. April 2024

Im letzten Jahr oder so haben wir das Aufkommen vieler neuer und spannender Anwendungen für prädiktive KI in der Energiebranche erlebt, um Energieanlagen besser zu warten und zu optimieren. Tatsächlich waren die Fortschritte in der Technologie geradezu rasant. Die Herausforderung bestand jedoch darin, die „richtigen“ Daten bereitzustellen …

Cheltenham MSP ist erster offizieller lokaler Cyberberater

Neil Smith, Geschäftsführer von ReformIT • 23. April 2024

ReformIT, ein Managed IT Service and Security Provider (MSP) mit Sitz in der britischen Cyber-Hauptstadt Cheltenham, ist der erste MSP in der Region, der sowohl als Cyber ​​Advisor als auch als Cyber ​​Essentials-Zertifizierungsstelle akkreditiert wurde. Das Cyber ​​Advisor-Programm wurde vom offiziellen National Cyber ​​Security Center (NCSC) der Regierung und dem ... ins Leben gerufen.

Wie wir die britischen Portfoliogeschäfte von BT modernisieren

Faisal Mahomed • 23. April 2024

Nirgendwo ist der Übergang zu einer digitalisierten Gesellschaft ausgeprägter als die Entwicklung von der traditionellen Telefonzelle zu unseren innovativen digitalen Straßentelefonen. Die Nutzung von Münztelefonen ist seit Ende der 1990er/2000er Jahre massiv zurückgegangen, wobei Geräte und Smartphones nicht nur den Kommunikationszugang, sondern auch die zentralen Community-Punkte ersetzt haben, für die die Münztelefone einst standen. Unser...

Was ist eine User Journey?

Erin Lanahan • 19. April 2024

User Journey Mapping ist der Kompass, der Unternehmen zu kundenorientiertem Erfolg führt. Durch die sorgfältige Verfolgung der Schritte, die Benutzer bei der Interaktion mit Produkten oder Dienstleistungen unternehmen, erhalten Unternehmen tiefgreifende Einblicke in die Bedürfnisse und Verhaltensweisen der Benutzer. Das Verständnis der Emotionen und Vorlieben der Benutzer an jedem Berührungspunkt ermöglicht die Schaffung maßgeschneiderter Erlebnisse, die tiefe Resonanz finden. Durch strategische Segmentierung, personengesteuertes Design,...

Von Schatten-IT zu Schatten-KI

Markus Molyneux • 16. April 2024

Mark Molyneux, EMEA CTO von Cohesity, erklärt, welche Herausforderungen diese Entwicklung mit sich bringt und warum Unternehmen bei aller Begeisterung nicht alte Fehler aus der frühen Cloud-Ära wiederholen sollten.

Behebung des IT-Debakels im öffentlichen Sektor

Markus Grindey • 11. April 2024

Die IT-Dienste des öffentlichen Sektors sind nicht mehr zweckdienlich. Ständige Sicherheitsverletzungen. Inakzeptable Ausfallzeiten. Endemische Überausgaben. Verzögerungen bei wichtigen Serviceinnovationen, die die Kosten senken und das Erlebnis der Bürger verbessern würden.