Quelloffene Bibliotheken
Firmen öffnen Schadcode selbst die Tür
Die Untersuchung zeige, schreiben die Autoren, dass die meisten Unternehmen offenbar keine ausreichenden Qualitäts- und Sicherheitskontrollen durchführten, um schadhaften Code aus den Anwendungen herauszuhalten. Das mag auch damit zusammen hängen, dass es einen schnellen Weg hin zur Anwendungssicherheit nicht gibt; nur breite und konsequente Reviews der eigen erstellten Anwendungen könne zum Aufspüren auch kleiner Einheiten von Schadcode führen.
Kein Votum gegen Open Source
Die Autoren wollen ihre Untersuchung ausdrücklich nicht als Votum gegen Open-Source-Software, zu der die meisten Bibliotheken zählen, verstanden wissen. Im Gegenteil: Sie bezeichnen sich selbst als Protagonisten einer offenen Software-Szene. Das dürfe aber nicht dazu führen, etwaige Sicherheitsprobleme zu ignorieren oder gar außer Acht zu lassen. Im Gegenteil appelliert die Studie an die Unternehmen, Libraries als kritische Teile ihrer Anwendungen zu sehen und durch gewissenhafte Tests und nötige Aufmerksamkeit das Eindringen von Schadsoftware ins Unternehmen zu verhindern.
Gesagt werden muss allerdings, dass die Studienautoren darauf nicht ganz uneigennützig hinweisen: Aspect Security ist spezialisiert auf Anwendungssicherheit. Mitarbeiter des Unternehmens untersuchen Programm-Code auf Schwachstellen.
Eines der größten Missverständnisse beim Gebrauch von offenen Software-Bibliotheken ist laut dem Studienbericht die Annahme, dass sie aufgrund ihrer großen Verbreitung und ihrer Transparenz in der Open-Source-Community unangreifbar sauber sind. Im Gegenteil kann unsauberer und ungewollt fehlerhafter Code ein Einfallstor für gezielte Angriffe sein, heißt es in dem Report.
Die Datenbank "Common Weakness Enumeration" (CWE) listet allein über 1.000 unterschiedliche Klassen solcher Fehler auf - genug Stoff für reichlich Schadcode in den Bibliotheken, aber für Entwickler nur schwer zu erkennen und zu vermeiden. Das Beste sei es daher, keiner einzigen Bibliothek von vorneherein einen Schadensfreiheitsrabatt einzuräumen, so die Studie, sondern dezidierte Untersuchungen des Codes bei jeder Library durchzuführen.