Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Cybersecurity: Census II macht sicherheitskritische Abhängigkeiten transparent

Die Linux Foundation berichtet, welche der über 1000 Open-Source-Bibliotheken für verbreitete Anwendungen tragend und ein potenzielles Supply-Chain-Risiko sind.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Lesezeit: 4 Min.
Developer
Von
  • Silke Hahn
Inhaltsverzeichnis

Lizenzfreie und quelloffene Software bildet das Fundament auch bei geschäftskritischen und kommerziell genutzten Anwendungen. Hinter diesen Projekten steht oftmals eine überschaubare Zahl ehrenamtlicher Maintainer – mitunter hängt alles an einer einzigen Person, die beispielsweise eine häufig genutzte Bibliothek im Alleingang und unentgeltlich betreut. Die Abhängigkeiten von solchen kostenfreien Bausteinen können kritisch sein, in der Supply Chain steigt damit das Risiko durch Sicherheitslücken oder Dominoeffekte.

Konkrete Beispiele aus der jüngeren Vergangenheit sind unter anderem die 2021 entdeckte Sicherheitslücke der kostenfrei nutzbaren Bibliothek für Java-Anwendungen Log4j und eine erst falsch lizenzierte, dann zurückgezogene Library innerhalb der Ruby-Bibliothek mimemagic, deren Wegfall eine Kettenreaktion auslöste: Eine halbe Million Open-Source-Projekte zog der Ausfall im Vorjahr in Mitleidenschaft.

Abhängigkeiten von FOSS-Komponenten erkennen und vorausschauend handeln

Die Linux Foundation hat gemeinsam mit einer Forschungsabteilung der Harvard Business School Census II veröffentlicht, einen Bericht zur Verbreitung lizenzfrei verfügbarer Open-Source-Software mit dem Schwerpunkt Anwendungsbibliotheken. Die finale Version der Untersuchung listet über 1000 weitverbreitete Open-Source-Bibliotheken auf, die in kommerziellen und Geschäftsanwendungen genutzt werden. Das Census-Projekt wurde 2015 erstmals durchgeführt, damals stand die Sicherheit von Linux-Servern mit dem Betriebssystem Debian im Zentrum.

Die Neuauflage des Berichts soll laut Herausgebern darüber aufklären, bei welchen frei verfügbaren Open-Source-Paketen, -Komponenten und -Projekten nicht nur die Sicherheit zu überprüfen ist, sondern konkret Handlungsbedarf besteht. Census II liefert auf rund 170 Seiten mit umfassenden Anhängen einen Überblick zu den betroffenen Open-Source-Projekten und vervollständigt den bereits früher veröffentlichten vorläufigen Schwachstellenreport "Vulnerabilities in the Core – A Preliminary Report and Census II of Open Source Software". Census II setzt an der Stelle an, wo Census I aufhörte: bei der im privaten und öffentlichen Bereich am stärksten verbreiteten FOSS-Software (Free and Open Source).

Census II: Was die Sicherheit erhöhen kann

Fünf wesentliche Erkenntnisse lassen sich aus dem Bericht Census II gewinnen:

  1. Standardisierte Schemata zur Bezeichnung der Softwarekomponenten für ein eindeutiges Identifizieren der Anwendungsbibliotheken sind künftig nötig.
  2. Versionierte Pakete stellen Developer vor besondere Herausforderungen: Der Bericht verweist auf den Software Bill of Materials (SBoM), der beim konsistenten Versionieren des öffentlichen Main Repository anleitet. Dadurch bleibt Rückschluss auf einen Main Branch zweifelsfrei möglich.
  3. Die meisten sehr gebräuchlichen FOSS-Projekte werden von einer überschaubaren Anzahl an Beitragenden entwickelt. Laut Census II sind bei den Top-50-Paketen insgesamt lediglich 136 Developer für über 80 Prozent der Codezeilen verantwortlich.
  4. Developer sollten ihre Entwicklerkonten durch MFA-Token absichern oder den Empfehlungen der Herausgeber zufolge lieber offizielle Firmenaccounts nutzen – wohl unter anderem, um das Verwaisen von Projekten zu vermeiden.
  5. Legacy-Software im Sinne veralteter Versionen von Paketen, zu denen es bereits Updates gäbe, ist im Open-Source-Bereich nach wie vor ein großes Thema (Stichwort: log4j).

Da die kostenfrei genutzten Open-Source-Pakete oftmals grundlegend sind für den wirtschaftlichen Erfolg derer, die sie in ihrer Software einbinden, plädieren Beteiligte der Studie wie Assistenzprofessor Frank Nagle (Harvard Business School) für koordinierte und gezielte Investitionen ins FOSS-Ökosystem, um für die Digitalökonomie kritische Komponenten auch langfristig und für künftige Generationen zu erhalten. Transparenz und stärkere Einsehbarkeit in die Zusammensetzung von Software seien vonnöten, untermauert der FOSSA-CEO Kevin Wang das Anliegen und gibt zu bedenken, dass Bedrohungen der Supply Chain sich auch stärker präventiv in den Griff bekommen lassen.

Wer hinter Census II steht und Download des Berichts

Für Census II haben die Linux Foundation und das Lab for Innovation Science der Harvard University mit den Sicherheitsspezialisten von Snyk und dem Cybersecurity-Forschungszentrum (CyRC) Synopsys sowie FOSSA zusammengearbeitet. Gemeinsam haben sie die Sourcecodebasis Tausender Unternehmen gescannt und herausgefunden, welche FOSS-Pakete am häufigsten im produktiven Einsatz sind. Der geschäftsführende Leiter der Open Source Security Foundation (OpenSSF) hob im Blogeintrag der Mutterorganisation Linux Foundation hervor, dass die gewonnenen Einblicke dazu dienen, kritische Projekte ausfindig zu machen, bei denen aus Sicherheitssicht akuter Handlungsbedarf besteht.

Geschäftsanwendungen von Banken, Schulen und im Arbeitsumfeld basieren ihm zufolge grundlegend auf Open-Source-Software, und die Daten aus Census II sollen dabei helfen, diese kritische Infrastruktur zu schützen. Der Bericht Census II steht ab sofort auf der Website der Linux Foundation zum Download bereit.

(sih)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten