Kenne Deinen Open Source Code

Eine empfehlenswerte Quelle mit Informationen über Open-Source-Schwachstellen ist die National Vulnerability Database (NVD) unter https://nvd.nist.gov. Die Datenbank wird vom National Institute of Standards gepflegt. Sie katalogisiert und veröffentlicht Schwachstelleninformationen mithilfe des Security Content Automation Protocol (SCAP). Es empfiehlt sich, diese Daten in ein automatisiertes Schwachstellen-Managementsystem zu integrieren. Allein im Jahr 2014 hat die NVD zirka 11.000 Common Vulnerability Enumerators (CVEs) katalogisiert, 4300 davon in Open Source Code. Das entspricht etwa elf CVEs pro Tag. Ohne ein automatisiertes System dürfte es schwer sein, diese potenziellen Probleme zu erkennen und zu analysieren – ganz zu schweigen von deren Behebung.

Es gibt eine Reihe proprietärer Datenbanken, die die Informationen der NVD ergänzen. Die meisten davon lassen sich abonnieren. Die VulnDB wird beispielsweise vom Unternehmen Risk Based Security gepflegt. Diese Datenbank überschneidet sich mit Informationen aus der NVD, umfasst aber eine größere Zahl von Einträgen und ausführliche Angaben zur Problembeseitigung, was im Falle eines Falles unbezahlbar sein kann.

Automatisierte Systeme verleihen den Informationen aus solchen Schwachstellendatenbanken einen erheblichen Mehrwert, da sie Daten aus anderen Quellen heranziehen können, die Source Code und Binärdateien auf Sicherheitslücken und Compliance-Probleme geprüft haben. Es führt also kein Weg an der Nutzung von Datenbanken vorbei, die eine vollständige Liste von Projekten, zugehörigen Lizenzen und digitalen Fingerabdrücken enthalten, mit denen sich der Code aus einem gegebenen Projekt-Repository identifizieren lässt. Die hierzu nötigen Informationen stehen über verschiedene Lösungen zur Verfügung, die auf die jeweiligen Sicherheitsanforderungen ausgelegt sind.