Sonatype: Schutz für Open Source

Bislang unentdeckte Sicherheitslücken aufspüren

2. Mai 2024, 11:20 Uhr | Jörg Schröper
© Viks_jin - AdobeStock

Der Angriff auf die Backdoor-Lieferkette rund um das Dienstprogramm XZ ist ein klassisches Beispiel dafür, wie Schwachstellen in Open-Source-Code verschleiert werden. Sonatype hat ein Tool entwickelt, das bislang nicht zu entdeckende Sicherheitslücken finden soll.

Der zugrundeliegende Algorithmus ist laut Sonatype in der Lage, Schwachstellen in Open-Source-Dateien aufzuspüren, bei denen der ursprüngliche Code neu verpackt wurde – was die Entdeckung mit herkömmlichen Mitteln nahezu unmöglich macht. Rund 4,5 Millionen neue Schwachstellen in Open-Source-Softwarekomponenten hat das Tool laut Anbieter bereits gefunden, 1,85 Millionen davon mit hohem Risiko sowie 336.000 Schwachstellen mit einem CVSS-Score von 9,7 oder höher – dies sei vergleichbar mit dem Schweregrad von Log4Shell.

Im Gegensatz zu anderen Tools lege das Design der Sonatype-Plattform den Schwerpunkt auf Vollständigkeit und Präzision der Ergebnisse, während falsch positive Ergebnisse praktisch eliminiert und falsch negative Ergebnisse sichtbar gemacht werden. Dadurch will man sicherstellen, dass sich die Teams nur auf echte Bedrohungen zum richtigen Zeitpunkt konzentrieren, was unnötigen Arbeitsaufwand und Belastungen für die Entwicklungsteams reduziert.

Sonatype CEO Wayne Jackson betonte: „Die Realität ist, dass ‚gut genug‘ nicht ausreicht, wenn es um die Sicherung der Open-Source-Software geht, die einem Großteil der digitalen Welt zugrunde liegt. Angreifer entwickeln ihre Methoden ständig weiter.“ Um Nutzern dabei zu helfen, ihnen einen Schritt voraus zu sein, müsse man auch sich selbst weiterentwickeln. Ziel sei es, die tiefsten und umfassendsten Einblicke in Open-Source-Schwachstellen zu gewähren, verbunden mit den notwendigen Tools und Automatisierungen, um die Produktivität der Entwickler zu steigern und gleichzeitig die Sicherheitsrisiken zu minimieren.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Das könnte Sie auch interessieren

Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Cybersecurity/Cybersicherheit

Weitere Artikel zu Cyber-Security-Lösungen

Weitere Artikel zu Cybercrime

Matchmaker+