COMPAREX AG
Open Source Software: Günstige Komponente für Entwickler oder gefährliche Zeitbombe?

Open Source Software: Günstige Komponente für Entwickler oder gefährliche Zeitbombe?

Termin bei einer global agierenden Großbank. Unser CEO fragt den CISO der Bank: „Wer, glauben Sie, ist weltweit der größte Nutzer von Open Source Software Komponenten?“ „Na - die große Suchmaschine?“ „Nein.“ „Die bekannte Auktionsplattform?“ „Nein“ „Dann das große soziale Netzwerk?“ „Nein: Ihre Bank. Die drei von Ihnen genannten Unternehmen verwenden zusammen so viel Open Source Software, wie Ihre Bank allein!“ „Was?!?!?! Das checke ich sofort.“ Der CISO verlässt den Raum, kommt nach 5 Minuten wieder herein und sagt: „Donnerwetter, Sie haben recht! Das habe ich gar nicht gewusst!“

Ein Blogbeitrag von Shane Close, Regional Director DACH bei Sonatype, im Auftrag von COMPAREX

Natürlich wurden im Gespräch auch die Namen genannt, die jeder kennt. Die ließ ich hier einmal weg; ansonsten fand dieser Dialog haargenau so statt. Typisch war die Reaktion, die wir oft erleben:  

1. Vielen Verantwortlichen ist nicht einmal bekannt, dass Open Source Software Komponenten in ihren Unternehmen Verwendung finden. „Wir? OSS? Wirklich?“
2. Selbst wenn es bekannt ist, herrscht selten Klarheit über das tatsächliche Ausmaß der Nutzung – und über eventuelle Risiken. „OSS? Ist doch sicher und kostenlos?“

Und da beginnt das Problem. Denn Open Source Software Komponenten beinhalten leider zwei wesentliche Risiken:

  1. Open Source ist zwar „frei“ verwendbar, allerdings sind Unternehmen auch hier zur Einhaltung enger lizenzrechtlicher Regularien verpflichtet. So etwa müssen sie den Quellcode von ihnen aus den Komponenten entwickelter Applikationen wieder der OSS Community zur Verfügung stellen; zudem müssen sie prüfen, ob jede von ihnen verwendete Komponente ihrerseits lizenzrechtlich einwandfrei ist. Es entstehen so transitive Abhängigkeiten!

  2. Darüber hinaus bestehen Sicherheitsrisiken! Wieder sind dies transitive Abhängigkeiten.

Transitive Abhängigkeiten?

Bei der Entwicklung von Open Source Software Applikationen verwenden Software-Entwickler fertige „Bausteine“ die von der Open Source Software Community im Internet stammen. Diese Bausteine wurden wiederum aus Bausteinen zusammengesetzt, diese Bausteine aus Bausteinen – und so weiter. Was man auf den ersten Blick sieht, verbirgt endlos viele weitere Komponenten – wie bei einer Matrjoschka. Sie kennen sicher diese netten russischen Holzfiguren? Wenn man sie öffnet, ist eine kleinere Figur enthalten, darin wieder eine kleinere und immer so weiter. Alle sind schön bunt lackiert. Nun stellen Sie sich aber vor, Sie stoßen innen auf eine Figur, die vermodert und von Holzwürmern befallen ist. Analog würde das bei OSS bedeuten, eine Komponente einer Komponente einer Komponente einer Komponente einer Komponente usw. wäre entweder nicht korrekt lizenziert oder mit Security-Risiken infiziert – oder gar beides. Wer haftet hier? Immer der Verantwortliche des Unternehmens, das die aus OSS Komponenten entwickelte App bereitstellt! Das sind transitive Abhängigkeiten.

 „Aber ich wusste das noch gar nicht!“

Sie kennen die Geschichten von arglosen Urlaubern, die, als sie in ein Land mit drakonischen Drogengesetzen reisten, nicht merkten, dass ihnen jemand ein Tütchen in ihr Gepäck schmuggelte um sie als Kurier zu missbrauchen. Das jedoch fand der Einreise-Zoll und die Ahnungslosen wanderten unschuldig für Jahre in Gefängnisse. „Aber ich wusste das noch nicht!“. Das war korrekt – half den Betreffenden aber nicht.

„Dumm gelaufen“ - Einzelfälle?

Abschließend noch ein aktuelles, konkretes Beispiel für ein massives Sicherheitsproblem, dass sich jüngst aus der Nutzung von unsicheren Open Source Software Komponenten ergeben hat: Das betroffene Unternehmen war Equifax, eine Wirtschaftsauskunftei. Auf seiner eigenen Webseite machte Equifax am 15. September konkrete Aussagen zum Ausmaß dieses „Cybersecurity Incidents“.

“The incident potentially impacts personal information relating to 143 million U.S. consumers – primarily names, Social Security numbers, birth dates, addresses and, in some instances, driver’s license numbers. In addition, credit card numbers for approximately 209,000 U.S. consumers, and certain dispute documents with personal identifying information for approximately 182,000 U.S. consumers, were accessed. Equifax also identified unauthorized access to limited personal information for certain U.K. and Canadian residents and is working with regulators in those countries.”

Allein in den USA waren also Daten von 143 Millionen Kunden betroffen, darunter rund 209.000 Kreditkarten-Nummern! Vom Schaden für das Image ganz abgesehen: Die am Mai 2018 umzusetzende Datenschutzgrundverordnung (DSGVO) sähe hier zudem noch hohe Bußgelder vor.

Ein Einzelfall? Wohl leider nicht, wenn man betrachtet, in welch gewaltigem Ausmaß die Nutzung von Open Source Software Komponenten geradezu explodiert ist: Der SSC INDEX – das ist die Liste der Open Source Component Download Requests des Central Repository - verzeichnet einen Anstieg zwischen 1 Milliarden Downloads im Jahre 2008 auf sage und schreibe 52 Milliarden Downloads 2016!

Was können Unternehmen zur Risikominimierung tun?

Im Prinzip benötigen Unternehmen ein Entwicklungs- und Inventarisierungs-Tool, dass nicht nur die Open Source Software Komponenten, die ein Unternehmen verwendet, lokalisiert und bewertet, sondern auch die Komponenten, die sich darin verbergen. Damit könnte der exakte Umfang der verwendeten Open Source Software und ihrer Bestandteile automatisiert festgestellt und – lizenzrechtlich und in Fragen der Sicherheit - Compliance in dieser gewaltig angewachsenen Grauzone erreicht werden. Des Weiteren sollte das Tool zu jeder Sicherheitsschwachstelle hilfreiche Informationen liefern, wie etwa eine technisch verständliche Beschreibung der Problematik, kontextuelle Informationen, Informationen um die Problematik zu beheben, inklusive Code-Beispielen. Ideal wäre zudem, wenn weitere Informationsquellen verlinkt werden würden, so dass eine pro-aktive Entscheidung getroffen werden kann, die qualitativ hochwertigste Version einer Komponente einzusetzen.

Shane Close von Sonatype
Abb. 1: Shane Close, Regional Director DACH bei Sonatype

Fazit – weitergehende Informationen

Eines kann man zu Open Source Software Komponenten mit Sicherheit sagen: Dass hier ein gigantisches Potential an Risiken bereits in den Unternehmen schlummert – vollkommen unkontrolliert und sogar fern jeder Awareness für das Problem. „Donnerwetter, Sie haben recht! Das habe ich gar nicht gewusst!“

Webinar „Open Source Software – Wissen Sie, wie sicher Ihre Applikationen sind?"

Mehr Informationen zum Thema „Open Source Software: Günstige Komponente für Entwickler oder gefährliche Zeitbombe?“ gibt Shane Close in einem Webinar am Montag, dem 20.11.2017 um 14:00.

Jetzt anmelden »

Diesen Artikel teilen

Artikel vom:
04.10.2017

geschrieben von:

TAGS:
Open Source Software, Sonatype

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben