Studie von Veracode

Sicherheitsrisiko Open-Source-Bibliotheken: 80 Prozent werden nie aktualisiert

Uhr
von Yannick Chavanne und Übersetzung: Joël Orizet

Open-Source-Code-Bibliotheken werden in den meisten Fällen nie aktualisiert. Der Grund: Mangel an Ressourcen und Informationen, aber auch Nachlässigkeit bei der Auswahl der Code-Bibliotheken.

(Source: Markus Spiske / Unsplash.com)
(Source: Markus Spiske / Unsplash.com)

Knapp 80 Prozent der Code-Bibliotheken von Drittanbietern werden von den Entwicklern nie aktualisiert, wie aus einer Studie des Anbieters von App-Sicherheitstests Veracode hervorgeht. Und selbst wenn die Bibliotheken aktualisiert werden, geschieht dies oft mit grosser Verzögerung: In der Hälfte der Fälle erfolgt das Update nach über 21 Monaten, bei einem Viertel erst nach vier Jahren.

Bei der Wahl der Bibliotheken seien die Entwickler in puncto Sicherheit nachlässig, heisst es im Ergebnisbericht. Die Hälfte der befragten Coder folgt keinem klar definierten Verfahren zur Auswahl von Drittanbieter-Bibliotheken. Und wenn sie es tun, ziehen sie Sicherheitsaspekte nicht systematisch in Betracht. Funktionalität und Lizenzbedingungen sind den Ergebnissen zufolge wichtigere Auswahlkriterien als Sicherheit.

Bekannte Schwachstellen sind schnell gepatcht

Obwohl die überwiegende Mehrheit der Open-Source-Bibliotheken nur selten aktualisiert wird, sind die Entwickler weniger nachlässig, wenn es um identifizierte Sicherheitslücken geht. Deckt ein Code-Scan einen Fehler auf, wird die Hälfte der betroffenen Bibliotheken innerhalb von drei Monaten gepatcht; in 20 Prozent der Fälle ist dies bereits in weniger als einer Stunde der Fall.

Doch warum werden die meisten Bibliotheken von Drittanbietern nicht aktualisiert? Den Studienergebnissen zufolge liegt es an einem Mangel an Ressourcen und Informationen, die zur Behebung von Fehlern zur Verfügung stehen. Zudem würden Entwickler oftmals befürchten, dass durch das Patchen die betroffene Anwendung nicht mehr funktioniere. Eine übertriebene Befürchtung, denn selbst wenn ein Update weitere Updates nach sich zieht: In 65 Prozent der Fälle handle es sich um kleine Versionsänderungen, welche die Funktionalität selbst der komplexesten Anwendungen nicht beeinträchtigen würden, heisst es im Report von Veracode.

Für die Studie analysierte Veracode eigenen Angaben zufolge 13 Millionen Scans von über 86'000 Repositories mit mehr als 301'000 Bibliotheken. Ebenfalls Teil der Studie ist eine Befragung von knapp 2000 Entwicklern. Die Studienergebnisse stehen online bereit (PDF).

Open Source wird für Schweizer Unternehmen zum Standard – so lautet der Hauptbefund einer Studie der Forschungstelle Digitale Nachhaltigkeit der Universität Bern im Auftrag von CH Open und SwissICT. 97 Prozent der befragten IT-Entscheider haben mindestens eine Open-Source-Lösung im Einsatz. Befragt wurden 163 CEOs, CIOs, CTOs und IT-Fachleute aus der Schweiz.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_222369

Kommentare

« Mehr