{"id":12377,"date":"2018-02-27T10:59:30","date_gmt":"2018-02-27T09:59:30","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12377"},"modified":"2018-02-26T11:04:12","modified_gmt":"2018-02-26T10:04:12","slug":"anwendungssicherheit-fuer-open-source-von-innen-nach-aussen-denken","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12377","title":{"rendered":"Anwendungssicherheit f\u00fcr Open Source: Von innen nach au\u00dfen denken"},"content":{"rendered":"
\"\"<\/a>
Grundlegende L\u00f6sungen f\u00fcr die Anwendungssicherheit (Quelle: Flexera)<\/figcaption><\/figure>\n

Autor\/Redakteur: Jeff Luszcz, Vice President of Product Management bei Flexera<\/a>\/gg<\/p>\n

Firewalls, webbasierte Authentifizierung, Angriffserkennung und Identit\u00e4tsmanagementsysteme kontrollieren den Zugriff auf Anwendungen von au\u00dfen. Fast 90 Prozent der Softwareangriffe zielen jedoch auf die Anwendungsebene selbst ab. Der Schutz von innen heraus, zum Beispiel durch gesch\u00fctzten Code oder Schwachstellenmanagement ist oft nicht hinreichend abgedeckt \u2013 vor allem bei Open Source Software (OSS).<\/p>\n

<\/p>\n

Die Vorteile von OSS liegen auf der Hand: Geringere Entwicklungskosten, schnellere Entwicklungszyklen und niedrigere Gesamtkosten der Anwendung \u2013 vorausgesetzt, das Anwendungsmanagement stimmt. Open Source erstreckt sich von weithin bekannten Komponenten und Anwendungen, wie Linux, LibreOffice und Android, \u00fcber weniger bekannte Kernkomponenten von Infrastrukturen, wie OpenSSL oder zlib, bis hin zu einer ellenlangen Liste anderer Open-Source-Komponenten.<\/p>\n

Open Source Software steckt in jeder Anwendung<\/strong><\/p>\n

W\u00e4hrend Anwendungen fr\u00fcher nur wenige Komponenten Dritter verwendeten, nutzen typische Anwendungen heute Hunderte solcher Komponenten, wobei die \u00fcberwiegende Mehrheit aus Open-Source-Projekten stammt. Open-Source-Komponenten und herk\u00f6mmliche propriet\u00e4re Komponenten unterscheiden sich mit dadurch, dass im Gegensatz zu kommerziell unterst\u00fctzten OSS-Betriebssystemen und paketierten Anwendungen, nur hinter jedem zehnten gro\u00dfen Open-Source-Projekt eine Community mit kommerziellen Services zu deren Unterst\u00fctzung steht. Entwicklungsabteilungen, die OSS-Komponenten nutzen, sind weitgehend auf sich gestellt, wenn es um Patches, Upgrades, Schwachstellenbewertung und vergleichbare Aufgaben geht, die normalerweise Teil eines kommerziellen Servicevertrags sind. Zudem k\u00f6nnen Entwickler weltweit auf Open Source, Freeware, Public Domain und Evalware (Demoversionen kommerzieller Programme) zur\u00fcckgreifen und den Code in ihre Programme einbinden, ohne sich um die \u00fcblichen Kontrollmechanismen im Beschaffungsprozess k\u00fcmmern zu m\u00fcssen.<\/p>\n

Ohne eine \u00dcberpr\u00fcfung werden die Drittkomponenten jedoch mit gro\u00dfer Wahrscheinlichkeit weder erfasst, noch lassen sie sich \u00fcberwachen und zur\u00fcckverfolgen. IT-Unternehmen sind sich \u00fcber die Zusammensetzung ihrer Codebasis meist gar nicht genau im Klaren. Anwendungen, die in den letzten f\u00fcnf Jahren entwickelt wurden, enthalten durchschnittlich 50 Prozent oder mehr Open-Source-Code, bezogen auf die Anzahl der Codezeilen. Von diesen Open-Source-Komponenten sind mehr als 70 Prozent undokumentiert und dem Engineering-Team nicht bekannt. Wird undokumentierter Open-Source-Code in Unternehmensanwendungen verwendet, ist die Sicherheit dieser hochsensiblen und erfolgskritischen Ressource gef\u00e4hrdet.<\/p>\n

\"\"<\/a>
Teamarbeit: Die L\u00fccke schlie\u00dfen (Quelle: Flexera)<\/figcaption><\/figure>\n

Strategie f\u00fcr Anwendungssicherheit<\/strong><\/p>\n

Die f\u00fcr Sicherheit, Entwicklung und IT zust\u00e4ndigen Teams m\u00fcssen gew\u00e4hrleisten, dass ihre Entwickler geeignete Prozesse zur Erstellung sicherer Software nutzen. Mit folgenden Ma\u00dfnahmen k\u00f6nnen diese drei Bereiche gemeinsam daf\u00fcr sorgen, dass die Regeln f\u00fcr Anwendungssicherheit auch auf Open-Source-Komponenten angewandt werden und in die Sicherheitsstrategie einflie\u00dfen:<\/p>\n