Sicherheitslücke

Warum Open-Source-Code zur Gefahrenquelle werden kann

Das amerikanische Software-Unternehmen Black Duck hat nach eigenen Angaben kritische Sicherheitslücken in vielen Apps gefunden, weil diese fehlerhaften beziehungsweise veralteten Open-Source-Code verwenden.
Von David Rist
AAA
Teilen (6)

Screenshot der Black-Duck-StudieMehr als die Hälfte der Apps mit Open-Source-Code weisen Sicherheitslücken auf Die Open-Source-Spezialisten von Black Duck haben über 1000 kommer­zielle Apps untersucht und berichten, dass ganze 96 Prozent der anonymisiert ausgewerteten Anwendungen auf Open-Source-Code aufbauen oder zumindest Teile davon verwenden. Dagegen wäre eigentlich auch nichts zu sagen, denn Open-Source-Code kann, unter Einhaltung bestimmter Lizenz­bedingungen, kostenlos verwendet und auch weiter­entwickelt werden. Bei der Entwicklung von Anwendungen wird deshalb häufig auf Open-Source gesetzt - Unter­nehmen sparen so Zeit und Geld.

Problematisch wird es aber, wenn dieser Code Sicher­heits­lücken enthält. Denn wie Black Duck weiter berichtet, finden sich in 67 Prozent der unter­suchten Apps mit Open-Source-Code Sicher­heits­lücken, die im Schnitt bereits seit über vier Jahren bekannt sind. Dem noch nicht genug, sollen die Apps mit den durch­schnittlich meisten Sicherheits­lücken, aus dem Finanz­bereich sowie aus dem Online-Handel stammen. So würden 60 Prozent der Anwendungen aus dem Finanz­bereich und 83 Prozent der Apps aus dem Online-Handel über besonders schwer­wiegende Sicherheits­mängel verfügen.

Des Weiteren sollen über 85 Prozent der Anwendungen die Open-Source-Lizenz­bedingungen nicht oder nicht mehr einhalten. 53 Prozent würden sogar über gar keine Genehmigung verfügen, den Open-Source-Code zu verwenden. Die komplette Studie von Black Duck kann gegen Anmeldung hier herunter­geladen werden.

Open-Source-Lizenzen

Obwohl Open-Source-Code in vielen Fällen kosten­frei verwendet und weiter­entwickelt werden darf, gilt dies nicht generell. So ist es beispiels­weise auch möglich, dass für die Nutzung von Open-Source-Software oder -Code Gebühren fällig werden. Das hängt ganz von der individuell verwendeten Open-Source-Lizenz ab. Sehr verbreitet ist zum Beispiel die Variante, in der Open-Source-Code zur freien Verwendung freigeben ist, alles was darauf aufbaut im Gegen­zug aber auch Open-Source sein muss.

Bei der Vermischung von Open-Source- und kommerziellem Code kann es also schnell zu Lizenz­problemen kommen, weil die Entwickler kommerzieller Software ihr Endprodukt nicht zur allgemeinem Verwendung freigeben möchten. Dies könnte unter anderem auch der Grund sein, weshalb Black Duck von so vielen Lizenz­verletzungen berichtet.

Und auch das große Ausmaß an Sicherheits­lücken und vor allem vollkommen veralteten Sicherheits­lücken lässt sich durch die Verwendung von Open-Source-Code erklären. Nimmt man als Beispiel das Betriebs­system Linux, so gib es dieses in den unter­schiedlichsten Ausführungen - kostenlos, denken die meisten. Doch bestimmte Linux-Distributionen gibt es als kosten­pflichtiges Betriebs­system. Dabei zahlt man allerdings nicht für die Software selbst, sondern in der Regel für den professionellen Support. Vollkommen kosten­freie Linux-Distributionen werden dagegen meist von einer Entwickler-Community betreut, die oft unentgeltlich und selten haupt­beruflich an dem Projekt arbeitet.

Wird also eine Sicherheits­lücke in einem kosten­freien Open-Source-Projekt gefunden, so ist die Entwickler-Community für deren Behebung verantwortlich. Anders als bei bekannter kommerzieller Software gibt es dann kein automatisches Update. Wer freie Open-Source-Software oder -Code verwendet, muss sich selbst darum kümmern, dass ein Update eingespielt wird. Und genau darum dürften sich viele Entwickler nicht gekümmert haben, deren Software im Zuge der Black-Duck-Studie untersucht worden ist. So kommt es dann auch vor, dass eine der bekanntesten Sicherheitslücken der letzten Jahre, noch immer in 1,5 Prozent der untersuchten Anwendungen besteht.

Open-Source trifft keine Schuld

Die von Black Duck dargestellte Problematik mit teils eklatanten Sicher­heits­lücken in Anwendungen, bei denen man sie am wenigsten vermuten würde, klingt erschreckend. Doch trifft den verwendeten Open-Source-Code dabei keine Schuld, die Community schon gar nicht. Vielmehr sieht es so aus, als ob die Entwickler der kommerziellen Apps sich nicht ausreichend um die Aktualisierungen der Open-Source-Komponenten gekümmert haben.

Um welche Apps es sich dabei genau handelt wird bei einer solchen Untersuchung üblicher­weise nicht bekannt gegeben. Vorerst werden die Entwickler über die Sicher­heits­lücken in ihren Anwendungen informiert und bekommen so Zeit diese zu schließen.

Übrigens, auch auf dem Smartphone lässt sich ein Community-basiertes Betriebs­system installieren. Viele Jahre war hier der CyanogenMod erste Wahl, inzwischen heißt das Projekt Lineage OS.

Teilen (6)

Mehr zum Thema Sicherheit