CleanPress

Report: Open-Source-Bibliotheken in Unternehmen kaum aktualisiert

Verfasst von

sla

in

,
Bibliotheken selten aktualisiert
Photo by Florian Olivo on Unsplash

Ein 36-seitiger Report über die Sicherheit von Software von Sicherheitsanbieter Veracode mit dem Titel State of Software Security (SoSS) v11: Open Source Edition, der im Juni veröffentlicht wurde, stellt einem Großteil der Bibliotheken von Drittanbietern in Repositories ein schlechtes Zeugnis aus. Demnach werden fast 80 % dieser Bibliotheken von den Entwicklern, die sie in ihrer Software verwenden, nie aktualisiert. Als Resultat daraus enthielten fast alle diese Repositories Bibliotheken mit mindestens einer Sicherheitslücke, die sich in 92 % der Fälle mit einem einzigen Update beheben ließen.

Solide Basis

Der Report von Veracode (Download erst nach Anmeldung) scheint eine solide Basis zu haben, wie Günter Born in seinem Blog berichtet. Demnach wurden für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 Bibliotheken analysiert. Zudem wurden rund 2.000 Entwickler über ihre Verwendung von Software aus dritter Hand befragt.

Angst vor Regressionen

Dabei wird klar, dass es zwei Hauptgründe gibt, warum Entwickler keine Updates einspielen. Einerseits wird dies bei der Vielzahl der verwendeten Bibliotheken auch in proprietärer Software einfach vergessen, andererseits werden nach der Devise »never touch a running system« durch Updates eingeführte Regressionen befürchtet. Der Report stellt allerdings klar, dass 65 % solcher Updates nur minimale Änderungen mitbringen, die selbst bei komplexen Anwendungen kaum dazu in der Lage sind, Schaden anzurichten.

Richtlinien notwendig

Die beliebtesten Bibliotheken entstammen Tools und Frameworks wie .NET, Go, JavaScript, Ruby, PHP, Python Java und Swift, wobei die Beliebtheit von Jahr zu Jahr stark schwanken kann. Der Report geht auch darauf ein, ob Unternehmen Richtlinien haben, wenn es um die Auswahl von Bibliotheken geht und wie diese aussehen.

Als Fazit kann man mitnehmen, dass die Sicherheit der Lieferkette bei Software einen steigenden Wert darstellt und die Einstellung vieler Entwickler von »Einbinden und Vergessen« nicht länger tragbar ist. Da sich Bibliotheken schnell ändern können, sei eine Bestandsaufnahme der verwendeten Bibliotheken im Unternehmen unabdingbar.

Kommentare

9 Antworten zu „Report: Open-Source-Bibliotheken in Unternehmen kaum aktualisiert“

  1. Avatar von Abbc
    Abbc

    Ich bin Softwareentwickler und habe selbst in einem eigenem privaten Projekt eine veraltete Bibliothek. Doctrine in Version 8, statt der aktuellen 9. Einfaches Upgrade ist wohl nicht möglich, weil es wohl neue Abhängigkeiten braucht. Schnell aufzulösen hat nicht geholfen und zum richtigen Update, fehlt momentan die Zeit. In Unternehmen ist es oft auch so. Wenn es funktioniert ist das gut, reagiert wird nur wenn es nicht mehr funktioniert. Das kann man jetzt verurteilen, geht meiner Meinung aber am Problem vorbei.

    Man muss jedes Unternehmen für sich selbst ganz individuell betrachten. Handelt es sich um eine Inhouse-IT und Software wird für den eigengebrauch entwickelt. Sollte das Aktualisieren einfacher sein, solange man nicht hunderte und tausende Tools entwickeln muss. Oder es handelt sich um eine Agentur die individuelle Softwarelösungen an Kunden verkauft. Hier realistisch alles aktuell zu halten, ist wohl einfach unmöglich und realitätsfern. Bezahlt auch niemand. Also… alles nicht so einfach.

    Antworten
    1. Avatar von Reindl Harald
      Reindl Harald

      Nichts selber machen und dann nichtmal 3rd party stuff aktuell halten…

      Antworten
  2. Avatar von Robert S.
    Robert S.

    Ja die GitHub Security Reports sollte man nicht deaktivieren. Klar manchmal ist ein Dienst nur aus dem internen Netz verfügbar und dort ist die Gefahr etwas kleiner, vernachlässigen sollte man das aber nicht.

    Antworten
  3. Avatar von Matze-Spaghettifan
    Matze-Spaghettifan

    Ja, bei Volkswagen wurde libssh jetzt von 0.8.0 auf 0.8.9 aktualisiert.

    Antworten
  4. Avatar von Nick
    Nick

    Wiedermal eines meiner liebsten Themen zum ausrasten. Ich empfinde es seither ohnehin als asozial, dass sich kommerziell orientierte Unternehmen an FOSS bereichern. Wobei die wenigsten darunter überhaupt etwas zurückgeben, und offenkundig nicht mal das pflegen können was sie nehmen. Wie engagiert geht ein Unternehmen wohl mit eigenem Code um, wenn man nicht mal den Willen hat externe Bibliotheken zu pflegen? Und eine durch eine Aktualisierung potenziell auftretende Regression, ist kein valider Grund alles beim Alten zu belassen. Vielmehr sollte man mal darüber nachdenken, wie erbärmlich schlecht die hauseigene Software designt sein muss, wenn die Aktualisierung einer externen Bibliothek derart desaströse Auswirkungen hat, dass das unbedingt vermieden werden muss. Eigentlich egal wie man es auch dreht, so etwas ist stets selbstverschuldet, wenn die eigene Software nicht an neue Bedingungen angepasst werden kann. Darüber hinaus ist es extrem fahrlässig, und auch eine arglistige Täuschung gegenüber dem Kunden, der für sein Geld eine zeitgemäße Software erwartet. Ich weiss schon genau, warum ich seit annähernd 20 Jahren FOSS bevorzuge, und immer freue welche Vorteile das bislang gebracht hat. Wer hingegen unfähig ist bzw. sich nicht imstande sieht externe Bibliotheken ordentlich zu pflegen, der hat schlicht keine zu nutzen und seinen Kram selbst zu bauen.

    Antworten
    1. Avatar von Es betrifft alle.
      Es betrifft alle.

      Bei Open Source Software ist das leider auch so.
      Ich habe mir vor ca. 2 Jahren die Windows Builds von größeren Open Source Projekten angesehen.
      Da waren auch 3rd Party Libraries mit bekannten CVE Sicherheitslücken eingebunden.

      Von Gimp, FreeCad und KiCad hat eigentlich nur KiCad halbwegs zügig reagiert.

      Bei Gimp hat es so lange gedauert, bis man bei Gimp ein paar Monate später eine neue Version raus brachte. D.h. die ursprüngliche Version bekam kein Update mit einer aktualisierten 3rd Party Library.

      Bei FreeCAD war man sich zumindest des Problems bewusst. Wie es dann weiter ging, weiß ich allerdings nicht mehr, da es zu lange her ist.

      Als Windowsnutzer hatte man somit die ganze Zeit ein unsicheres System, wenn man diese Software nutzte und die 3rd Party Bibliotheken somit im Speicher geladen waren.

      Antworten
    2. Avatar von kamome
      kamome

      empfinde es seither

      Seit wann meinst Du denn?

      Antworten
    3. Avatar von Alex
      Alex

      dass sich kommerziell orientierte Unternehmen an FOSS bereichern

      Der Großteil der FOSS wird von kommerziell orientierten Unternehmen geschrieben.

      Antworten
  5. Avatar von Tony
    Tony

    andererseits werden nach der Devise »never touch a running system« durch Updates eingeführte Regressionen befürchtet.

    Das kenne ich aus meinem Umfeld auch so.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge