Open-Source-Software sicher machen

"Best Practices" machen Open Source sicher

Wer Open-Source-Software verwendet, hat mehrere Optionen, um damit verbundene Risiken auszuschalten. Eine Hilfestellung geben dabei folgende "Best Practices":

1. Regeln ("Policies") vorgeben: Ein Eckpfeiler einer Sicherheitsstrategie für Open-Source-Lösungen sind Regeln. Denn Entwicklungs-Teams sind oft der Auffassung, sie könnten nach Belieben jede Art von Open-Source-Software einsetzen. Das ist unter dem Aspekt IT-Sicherheit riskant. Besser ist, eine unternehmensweite Richtlinie zu definieren. Sie legt fest, welche Tools und Programmpakete aus dem Open-Source-Bereich im Unternehmen eingesetzt werden dürfen.

2. Ein Patch-Management implementieren: Das regelmäßige Einspielen von Patches ist generell bei allen Software-Paketen anzuraten, nicht nur bei Open-Source-Lösungen. Wichtig ist, dass sicherheitskritische Updates regelmäßig und möglichst zeitnah implementiert werden. Ein zentrales Patch-Management hilft dabei, dies in der Praxis umzusetzen. Dadurch sinkt die Wahrscheinlichkeit deutlich, dass Angreifer Schwachstellen ausnutzen können.

3. Die Software-Repositories kontrollieren: Entwickler benötigen einen möglichst umfassenden Zugang zu Open-Source-Bibliotheken in deren nativen Umgebungen. Dennoch kann es aus Sicherheitsgründen hilfreich sein, den Zugriff auf Repositories zu begrenzen. Dies lässt mithilfe von Firewalls erreichen, die den Zugang zu bestimmten Software-Ressourcen blockieren. Eine weniger "radikale" Methode besteht darin, im Unternehmensnetz einen Cache-Speicher mit bekannten, geprüften und freigegebenen Software-Komponenten einzurichten.

4. Die Software-"Lieferkette" in den Griff bekommen: So gut wie jedes Unternehmen nutzt Programmpakete unterschiedlicher Anbieter sowie Standardsoftware (Commercial-off-the-Shelf-Lösungen). Dadurch halten bekannte IT-Sicherheitslücken Einzug ins Unternehmen, teilweise aber auch Schwachstellen, von denen selbst Security-Spezialisten noch nichts wissen. Abhilfe schaffen Sicherheitstests. Dabei sollten Tools für die statische Code-Analyse eingesetzt werden, zudem Werkzeuge für die Software Composition Analysis (SCA). Durch solche Tests erhalten IT-Sicherheits- und Softwarefachleute im Unternehmen einen detaillierten Überblick über bestehende Risiken. Außerdem lässt sich dadurch sicherstellen, dass die Software-Anbieter bei ihren Lösungen ein bestimmtes Sicherheitsniveau einhalten.

5. Verfahren für die Beseitigung von Sicherheitsrisiken entwickeln: Kein Unternehmen sollte sich auf seinen Lorbeeren ausruhen. Wichtig ist, regelmäßig die Risiken zu bewerten, die Sicherheitslücken in Open-Source-Software und anderen Programmen darstellen. Wurde ein neues Risiko entdeckt, sollten Entwickler und IT-Sicherheitsspezialisten gemeinsam Wege finden, um es zu beseitigen.

6. IT-Sicherheitsfachleute und Entwickler "zusammenbringen": Eine enge Zusammenarbeit zwischen Software-Entwicklern und IT-Security-Spezialisten ist in einem Unternehmen unverzichtbar. Denn die Security-Fachleute können nur dann die Sicherheit von Software bewerten, wenn sie die Tools und Programme kennen, auf die Entwickler zurückgreifen. Beide Abteilungen sollten sich daher regelmäßig Informationen austauschen. Das schließt gemeinsame Trainings mit ein, außerdem die Weitergabe von Tools. Auf diese Weise lässt sich sicherstellen, dass beide Teams auf demselben Informationsstand sind, was Sicherheitslücken in Open-Source-Software betrifft. Das gilt auch für die Maßnahmen, mit denen sich solche Schwachstellen beseitigen lassen.

Fazit: Offene Software ist so sicher wie proprietäre Lösungen

Offene Lösungen können es durchaus mit proprietären Programmpaketen aufnehmen. Das gilt auch für den Punkt "Sicherheit". Wenn Nutzer von Open-Source-Software einige grundlegende Vorkehrungen treffen, können sie die Sicherheitsrisiken ausschalten, die solche Programme aufweisen. Dann zählt das Argument nicht mehr, dass proprietäre Software sicherer ist als offene Lösungen.

Julian Totzek-Hallhuber ist Solution Architect bei Veracode

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Open-Source-Software sicher machen
2. "Best Practices" machen Open Source sicher

Lesen Sie mehr zum Thema

Weitere Artikel zu Veracode

Veracode Software Security Report

Mehr als 70 Prozent der Unternehmen haben Security-Schulden

Softwareentwicklung

Keine Zeit für Altlasten

Open Source Security

Klare Regeln gefordert

Application Security

Broadcom verkauft Veracode an Investmentfirma

Cyber-Angriffe

Die vier größten Hacks des vergangenen Jahres

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler