{"id":255387,"date":"2021-07-04T02:31:39","date_gmt":"2021-07-04T00:31:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255387"},"modified":"2021-07-05T19:06:53","modified_gmt":"2021-07-05T17:06:53","slug":"report-80-prozent-der-open-source-bibliotheken-werden-nie-aktualisiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/04\/report-80-prozent-der-open-source-bibliotheken-werden-nie-aktualisiert\/","title":{"rendered":"Report: 80 % der Open-Source-Bibliotheken werden nie aktualisiert"},"content":{"rendered":"

\"SicherheitVom Sicherheitsanbieter Veracode wurde im Juni 2021 der State of Software Security (SoSS) v11: Open Source Edition<\/em>-Report ver\u00f6ffentlicht. Dieser deckt auf, wie es aktuell um die Sicherheit von Open Source Software steht. W\u00e4hrend der Untersuchung wurde festgestellt, dass 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden. Au\u00dferdem enthalten fast alle Repositories Bibliotheken mit mindestens einer Sicherheitsl\u00fccke. Keine guten Aussichten.<\/p>\n

<\/p>\n

\"\"Der neue State of Software Security (SoSS) v11: Open Source Edition<\/a> Report von Veracode<\/a> (Download erfordert Anmeldung) zeigt, dass fast 80 Prozent der Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden \u2013 trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringf\u00fcgig sind und die Funktionalit\u00e4t selbst der komplexesten Softwareanwendungen nicht beeintr\u00e4chtigen.<\/p>\n

Open-Source-Bibliotheken entwickeln sich st\u00e4ndig weiter. Was heute noch sicher erscheint, kann es morgen schon nicht mehr sein und ein erhebliches Risiko f\u00fcr Software-Anbieter und Anwender darstellen. Verarcode hat f\u00fcr den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 einzigartigen Bibliotheken analysiert und au\u00dferdem fast 2.000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.<\/p>\n

Der Report zeigt im Jahresvergleich bemerkenswerte Schwankungen in der Beliebtheit und Anf\u00e4lligkeit von Bibliotheken auf. So waren beispielsweise vier der f\u00fcnf beliebtesten Bibliotheken in Ruby des Jahres 2019 im Jahr 2020 nicht mehr in den Top 10, w\u00e4hrend sich einige der anf\u00e4lligsten Bibliotheken in Go des Jahres 2019 im Jahr 2020 als weniger angreifbar erwiesen und umgekehrt.<\/p>\n

Da fast alle modernen Anwendungen mit Open-Source-Software von Drittanbietern erstellt werden, kann sich ein einziger Fehler oder eine Anpassung in einer Bibliothek kaskadenartig auf alle Anwendungen auswirken, die diesen Code verwenden. Das bedeutet, dass diese st\u00e4ndigen \u00c4nderungen einen direkten Einfluss auf die Softwaresicherheit haben.<\/p>\n

Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitsl\u00fccke. \u201eDie gro\u00dfe Mehrheit der heutigen Anwendungen verwendet Open-Source-Code\", kommentiert Chris Eng, Chief Research Officer bei Veracode. \u201eDie Sicherheit einer Bibliothek kann sich schnell \u00e4ndern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal f\u00fcr eine Bibliothek entschieden haben, diese nur selten aktualisieren.<\/p>\n

Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, l\u00e4sst sich eine \u201eEinstellen und Vergessen\"-Mentalit\u00e4t jedoch nicht l\u00e4nger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden.\"<\/p>\n

Die Entwicklung sicherer Anwendungen mit Open-Source-Code muss nicht anstrengend sein<\/strong><\/p>\n

Trotz der dynamischen Natur der Software-Landschaft aktualisieren Entwickler Open-Source-Bibliotheken h\u00e4ufig nicht mehr, wenn sie diese erst einmal in Software-Anwendungen eingebunden haben. Hinderlich kann hier ein mangelndes kontextbezogenes Verst\u00e4ndnis daf\u00fcr sein, wie eine anf\u00e4llige Bibliothek mit ihrer Anwendung zusammenh\u00e4ngt. Entwickler, die angeben, dass ihnen diese Informationen fehlen, ben\u00f6tigen beispielsweise mehr als sieben Monate, um 50 Prozent der Schwachstellen zu beheben.<\/p>\n

Dies verk\u00fcrzt sich jedoch drastisch auf drei Wochen, wenn ihnen die richtigen Informationen und Hilfestellungen zur Verf\u00fcgung stehen. Au\u00dferdem k\u00f6nnen sie schnell reagieren, wenn sie auf eine anf\u00e4llige Bibliothek aufmerksam gemacht werden: 17 Prozent der Schwachstellen werden innerhalb einer Stunde behoben und 25 Prozent innerhalb einer Woche. Wenn sie also rechtzeitig mit genauen Informationen versorgt werden, k\u00f6nnen Entwickler die Sicherheit angemessen priorisieren und Schwachstellen schnell beheben.<\/p>\n

Weitere wichtige Ergebnisse:<\/strong><\/p>\n