Anwendungssicherheit für Open Source: Von innen nach außen denken

Teamarbeit: Die Lücke schließen

Sicherheit ist nicht ausschließlich Sache der IT-Sicherheit. In vielen Unternehmen konzentriert sich der Entwicklungsprozess allein auf Entwurf, Architektur, Codierung und Test von Anwendungen mit dem Ziel, alle funktionalen Anforderungen zu erfüllen. Angesichts der heute oft eingeschränkten finanziellen Mittel und Ressourcen werden Anwendungen oft nicht angemessen auf Codierungsfehler, Schwachstellen oder sonstige Bedingungen geprüft, die ein Einfallstor für Hacker bilden können.

Zudem beschränkt sich der Auftrag der für Sicherheit und IT zuständigen Teams üblicherweise auf die Abwehr externer Angriffe. Sicherheitsexperten sind keine Programmierer. Sie wissen daher meist nicht, dass bereits in der Entwicklungsphase getroffene Entscheidungen wesentliche Auswirkungen auf die später abzusichernden Anwendungen haben. Die einzelnen Teams aus Sicherheit, IT oder Entwicklung können die Fragen zur Anwendungssicherheit alleine nicht adäquat abdecken, während Hacker in den Bereichen Codierungsmethodik und Sicherheit versiert sind und jede vorhandene Lücke ausnutzen.

Die Zusammenarbeit von Entwicklungs-, Sicherheits- und IT-Teams zum Schutz der implementierten Anwendungen ist eine Grundvoraussetzung. Zunächst sollten die Teams ihre vorhandene Open Source-Software anhand entsprechender Open-Source-Projektseiten und anderer Quellen auf Schwachstellenwarnungen kontrollieren. Die Warnungen lassen sich dann entsprechend der intern eingesetzten Komponenten einstufen, so dass schließlich Empfehlungen für Versions- und Patch-Upgrades formuliert werden können.

Dabei helfen auch entsprechende OSS-Management-Tools, die eine pragmatische Herangehensweise ermöglichen. So können Unternehmen eine solide Strategie für Anwendungssicherheit etablieren, die es ermöglicht OSS ohne Risiko, dafür aber in vollem Umfang zu nutzen.