Sysbus
ArtikelEntwicklungSecurity

Kenne Deinen Open Source Code

gg

Methodisches und konsistentes Code-Management

Über das Management von Sicherheitsrisiken und die Beseitigung von Softwareschwachstellen hinaus ist noch der Compliance-Aspekt im Einsatz von Open Source Code zu berücksichtigen, damit Lizenzrechte eingehalten und stets der aktuelle Code verwendet wird. Veraltete Code-Versionen können zu erheblichen Problemen führen, wenn Sicherheitslücken nicht geschlossen und wichtige Updates nicht eingespielt wurden und Unternehmen sich nicht an die Lizenzierungsregeln halten.

Unter dem Schirm der Anwendungssicherheit (AppSec) können sich Unternehmen mit Patch-Management, der Sicherheit mobiler Anwendungen und Web-Applikationen sowie den Grundsätzen und Praktiken zur Erstellung sicherer Anwendungscodes auseinandersetzen. Lösungen zur Zentralisierung und Vereinheitlichung dieser Vorgänge machen es den Verantwortlichen einfacher, die Code-Integrität zu gewährleisten. Das gilt für die Entwickler, die auf Open Source Repositories zugreifen ebenso wie für IT- und Sicherheitsverantwortliche, die Richtlinien festlegen und Code-Entwicklung, Releases und Verteilung beaufsichtigen.

Bei der Analyse der Softwarezusammensetzung wird Software in ihre Bestandteile zerlegt, um die Komponenten auf Sicherheit, Quelle und Compliance zu untersuchen. Wirksame Tools aus diesem Bereich können Millionen von Code-Zeilen scannen und katalogisieren. Sie greifen dabei auf umfangreiche Datenbanken zurück, identifizieren bekannte Sicherheitslücken, stellen Lizenzinformationen bereit, nennen gegebenenfalls Updates und Patches für bestehenden Code und weisen auf Bereiche hin, die sofortiges Handeln erfordern. Auf Schutz und Management der gesamten Software-Supply Chain bedachte Unternehmen können durchgängige Lösungen nutzen.

Da Code aus so vielen verschiedenen Quellen beschaffbar ist, ist die Sichtbarkeit der einzelnen Komponenten ebenso wie ein zentrales Management unverzichtbar. Ein proprietäres Programm eines vertrauenswürdigen Herstellers kann beispielsweise durchaus Open Source Code enthalten. Man sollte jedoch nicht davon ausgehen, dass der Hersteller die neueste Version der Open Source verwendet hat und dass diese Version frei von Sicherheitslücken ist.

Ganz gleich, welche Quellen verwendet werden: Unternehmen sollten die Auswahl, Genehmigung und Nutzung von Open Source Code im gesamten Lebenszyklus kontrollieren und verwalten können. Ein automatisiertes System kann:

  • Den für Erstellung von Anwendungen verwendeten Bestand an Open Source Software identifizieren,
  • auf bekannte Schwachstellen und Lizenzanforderungen hinweisen, indem der Bestand an Open Source Software anhand entsprechender Datenbanken geprüft wird und
  • Schwachstellen kontinuierlich überwachen und die Verantwortlichen darauf hinweisen, wenn neue Open-Source-Schwachstellen auftreten, die den eingesetzten Softwarebestand betreffen.

Hilfe durch automatisierte Systeme und Schwachstellendatenbanken

Ohne entsprechende Mechanismen wird es weiter unentdeckte Lücken geben, von denen sich regelmäßig einige als sicherheitskritisch erweisen. Wer sich gegen Angriffe schützen will, sollte die von öffentlichen und privaten Institutionen gesammelten Informationen über Sicherheitslücken und Lizenzdaten nutzen. Allerdings ist es im Entwicklungsprozess nicht mit der Suche nach Softwareschwachstellen getan. Viele Schwachstellen werden erst später entdeckt und müssen folglich im Nachgang behandelt werden. Daher ist eine konstante Überwachung von Open Source Code unverzichtbar.

Das könnte dir auch gefallen

Die Softwareexperten der Kölner CryptoTec AG reisen mit zwei neuen Security Apps auf die RSA Conference nach San Francisco

gcg

F-Secure SAFE unterstützt Windows 10 und bietet zusätzliches Sicherheits-Tool Network Checker

gcg

Die größten Missverständnisse der Cloud-Security – Werden wir mit Zertifizierungen und Labeln geblendet?

gg
Die mobile Version verlassen
%%footer%%