Open Source Security
Klare Regeln gefordert
Fortsetzung des Artikels von Teil 1
Kommerzielle Software-Pakete sind fehlbar
Mit Open Web Application Security Projects (OWASP) stehen heute Richtlinien und Kontrollen für die Verwendung von Komponenten zur Verfügung. Gleichwohl haben viele IT-Abteilungen Probleme bei der Anwendung der Richtlinien. Und selbst OWASP sind fehlbar, wie eine Studie von Veracode nachweisen konnte. Dabei fielen über 77 Prozent der kommerziellen Software-Pakete bei Sicherheits-Scans durch, obwohl sie den Vorgaben des OWASP entsprachen. Selbstentwickelte Software versagte nur zu 65 Prozent. Zudem können Entwickler bei eigenentwickelten Lösungen schneller mit Fehlerbehebungen reagieren und müssen nicht lange auf Updates warten. Außerdem können auch regelmäßige Analysen Sicherheitslücken in OSB nicht immer rechtzeitig aufdecken, wie „Heartbleed“ in der OpenSSL-Bibliothek zeigte, die über zwei Jahre unentdeckt blieb.
Klare Regeln und Kooperation
Die Konsequenz auf diese Befunde lautet daher, dass Unternehmen keine Alternative zu klaren Regeln für Sicherheitsüberprüfungen während der gesamten Lebenszeit einer Software haben. Sie müssen ihren Entwicklern Leitlinien an die Hand geben, welche OS-Komponenten sie einarbeiten können und welche verboten sind. Eine solche „Policy“ muss definieren, welche bestenfalls überprüften Komponenten die Programmierer aus OSB verwenden dürfen. Zudem muss geregelt sein, in welchen Zeitspannen Patches zu erstellen und einzuarbeiten sind. Denn auch das Timing spielt eine Rolle, um Cyberattacken schnell ins Leere laufen zu lassen. Ein zentrales Patch-Management beschleunigt die Schwachstellenbehebung. Die Intervalle für Sicherheitstests sowie die entsprechenden Tools, die dafür einzusetzen sind, sollten ebenfalls vorgegeben werden. So haben sich beispielsweise Tools für statische Code-Analysen und Werkzeuge für Software Composition Analysis (SCA) bewährt. Last but not least brauchen IT-Sicherheitsteams und Anwendungsentwickler einen vollständigen Überblick über bestehende Risiken. Risikobewertungen von Open-Source-Software und anderen Programmen sollten daher zur Routine werden.
Silodenken überwinden, Informationen teilen
Programmierer und Sicherheitsexperten der IT-Abteilungen brauchen eine gemeinsame Idee, wie sie Schwachstellen in ihren Codes schneller identifizieren und beheben können. Dafür brauchen sie Austausch und einen systematischen Informationsfluss. Denn nur gemeinsam können sie künftig gewährleisten, dass sie bei drohenden Sicherheitsgefährdungen eine effiziente Abwehrstrategie einsetzen. Und wie die Zahlen von Veracode zeigen, sind Open-Source-Bibliotheken nicht von vorneherein gefährlicher als kommerzielle Anwendungen. CIOs können durch ihre Regeln die Basis schaffen, dass Schwachstellen künftig schneller behoben werden – vor allem, bevor sie Schaden anrichten können.
Kurzum: Klare Regeln, kontinuierliche Sicherheits-Checks, eine systematische Kooperation zwischen Entwicklern und Security-Teams sowie die Überwindung von Silodenken mit offenem Informationsfluss gehören heute zum Mindeststandard. So können Unternehmen auch weiterhin von den Vorteilen der OSB profitieren und gleichzeitig ihre Sicherheit gewährleisten.
Julian Totzek-Hallhuber ist Solution Architect bei Veracode
- Klare Regeln gefordert
- Kommerzielle Software-Pakete sind fehlbar
Lesen Sie mehr zum Thema
