Report: Open-Source-Bibliotheken in Unternehmen kaum aktualisiert

Bibliotheken selten aktualisiert
Photo by Florian Olivo on Unsplash

Ein 36-seitiger Report über die Sicherheit von Software von Sicherheitsanbieter Veracode mit dem Titel State of Software Security (SoSS) v11: Open Source Edition, der im Juni veröffentlicht wurde, stellt einem Großteil der Bibliotheken von Drittanbietern in Repositories ein schlechtes Zeugnis aus. Demnach werden fast 80 % dieser Bibliotheken von den Entwicklern, die sie in ihrer Software verwenden, nie aktualisiert. Als Resultat daraus enthielten fast alle diese Repositories Bibliotheken mit mindestens einer Sicherheitslücke, die sich in 92 % der Fälle mit einem einzigen Update beheben ließen.

Solide Basis

Der Report von Veracode (Download erst nach Anmeldung) scheint eine solide Basis zu haben, wie Günter Born in seinem Blog berichtet. Demnach wurden für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 Bibliotheken analysiert. Zudem wurden rund 2.000 Entwickler über ihre Verwendung von Software aus dritter Hand befragt.

Angst vor Regressionen

Dabei wird klar, dass es zwei Hauptgründe gibt, warum Entwickler keine Updates einspielen. Einerseits wird dies bei der Vielzahl der verwendeten Bibliotheken auch in proprietärer Software einfach vergessen, andererseits werden nach der Devise »never touch a running system« durch Updates eingeführte Regressionen befürchtet. Der Report stellt allerdings klar, dass 65 % solcher Updates nur minimale Änderungen mitbringen, die selbst bei komplexen Anwendungen kaum dazu in der Lage sind, Schaden anzurichten.

Richtlinien notwendig

Die beliebtesten Bibliotheken entstammen Tools und Frameworks wie .NET, Go, JavaScript, Ruby, PHP, Python Java und Swift, wobei die Beliebtheit von Jahr zu Jahr stark schwanken kann. Der Report geht auch darauf ein, ob Unternehmen Richtlinien haben, wenn es um die Auswahl von Bibliotheken geht und wie diese aussehen.

Als Fazit kann man mitnehmen, dass die Sicherheit der Lieferkette bei Software einen steigenden Wert darstellt und die Einstellung vieler Entwickler von »Einbinden und Vergessen« nicht länger tragbar ist. Da sich Bibliotheken schnell ändern können, sei eine Bestandsaufnahme der verwendeten Bibliotheken im Unternehmen unabdingbar.

5 1 vote
Article Rating

Verwandte Themen

5 1 vote
Article Rating
Abonnieren
Benachrichtige mich bei
9 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments