Report: Open-Source-Bibliotheken machen Anwendungen angreifbar
Laut des von Veracode veröffentlichten "State of Software Security Report" ließen sich Dreiviertel der Schwachstellen schon durch kleine Updates beheben.
Veracode, Anbieter von Werkzeugen für die Anwendungssicherheit, hat eine neue Ausgabe des "State of Software Security (SoSS) Report" veröffentlicht – diesmal in einer Edition, die sich auf Open Source fokussiert. Der Report untersucht Applikationen auf Schwachstellen und Sicherheitslücken durch Open-Source-Bibliotheken. Als Basis dienten rund 85.000 Anwendungen, die verschiedene OSS-Bibliotheken enthalten. Insgesamt umfasste die Untersuchung über 351.000 quelloffene Librarys.
Auf die Programmiersprache kommt es an
70 Prozent aller gescannten Anwendungen weisen laut Studie mindestens eine Schwachstelle in den von ihnen verwendeten Bibliotheken auf. Knapp die Hälfte (47 Prozent) der fehlerhaften Librarys landen dabei auf indirektem Wege im Code, werden also nicht unmittelbar vom Entwickler der Anwendung gezogen, sondern sie basieren auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek.
Das Auftreten solcher transitiver Abhängigkeiten hängt offenbar entscheidend von der Programmiersprache ab: In mehr als 80 Prozent der in JavaScript, Ruby und PHP geschriebenen Anwendungen zieht ein Großteil der Bibliotheken transitive Abhängigkeiten nach sich. Laut Report führt demnach der Einsatz von Bibliotheken der Programmiersprache PHP mit einer Wahrscheinlichkeit von 50 Prozent zu fehlerhaftem Code.
CVEs alleine helfen nicht
Beim Aufspüren und Beheben von Schwachstellen können sich Entwickler allerdings auch nicht alleine auf Common Vulnerabilities and Exposures (CVEs) verlassen, denn die Ergebnisse des Reports zeigen, dass nicht alle in den Bibliotheken gefundenen Schwachstellen auch CVEs zugeordnet sind. So fänden sich insbesondere in fehlerhaften JavaScript-Bibliotheken besonders häufig Schwachstellen ohne CVE.
Unter den im Rahmen der Studie betrachteten Open-Source-Schwachstellen gemäß OWASP Top Ten traten jene im Bereich Access Control am häufigsten auf (25 Prozent). Wichtige Rollen spielen darüber hinaus Verwundbarkeiten durch Cross-Site Scripting (30 Prozent), unsichere Deserialisierung (23,5 Prozent) und Broken Access Control (20,3 Prozent).
Veracode weist allerdings darauf hin, dass sich in den meisten Fällen (knapp 75 Prozent) die aufgetretenen Schwachstellen bereits durch kleine Versions-Updates beheben ließen.
Der vollständige Report steht nach kurzer Registrierung über die Webseite von Veracode zum Download bereit. (mdo)