Community 14.09.2020, 14:58 Uhr

Sichere Open-Source-Software: Eine kollektive Verantwortung

Die Unsicherheit von Open-Source-Komponenten vererbt sich in die Projekte, die sie enthalten.
(Quelle: dotnetpro)
Eine sichere und aktive Open-Source-Community ist nicht nur für Open-Source-Software an sich bedeutsam, sondern kommt auch den Millionen von kritischen Technologien zugute, die von dieser abhängig sind. Die Sicherheit der weltweiten Software ist somit schon längst eine kollektive Gemeinschaftsaufgabe und liegt in unserer aller Verantwortung.
Heutige Softwareentwicklungsprojekte enthalten zu 99 Prozent Open-Source-Software. Entsprechend unseres aktuellen GitHub State of the Octoverse-Reports vom Oktober 2019 weist ein durchschnittliches Softwareprojekt dabei Abhängigkeiten von über 200 weiteren Komponenten auf. Zwar verkürzt die Integration von Open-Source-Abhängigkeiten die Zeit bis zur Markteinführung ungemein, bringt jedoch zugleich auch vererbte Sicherheitsrisiken mit sich. So zeigt sich allein in den letzten fünf Jahren ein Anstieg an Sicherheitslücken im Zusammenhang mit Open Source von 71 Prozent. Das Problem liegt dabei jedoch nicht etwa in der Verwendung von Open-Source-Software oder in Kompromissen innerhalb der Softwarelieferkette. Vielmehr ist es im Bereich ungepatchter Software zu finden.
In dieser Situation ist es vor allem entscheidend - und zwar für Privatpersonen wie auch für Entwickler im Unternehmensumfeld - die veralteten, nicht gepatchten Abhängigkeiten schnellstmöglich zu aktualisieren. Denn das größte Problem dieser veralteten Abhängigkeiten liegt darin, dass diese Sicherheitslücken enthalten können oder eben bereits so alt sind, dass sie gar keine kritischen Patches mehr erhalten. Sollte eine der Abhängigkeiten Schwachstellen aufweisen, dann hat dies direkte Auswirkungen auf den eigenen Code. Der einfachste Weg das Problem zu beheben, liegt dann in einem Update.

Sicherheit in Open Source

Um Open Source für alle sicherer zu machen, ist eine kontinuierliche Zusammenarbeit innerhalb der weltweiten Community gefragt. Es braucht eine Vielzahl von Entwicklern und Sicherheitsforschern, die dank ihres individuellen Backgrounds ihr individuelles Spezialwissen einbringen und gemeinsam den Code durchsuchen, Änderungsvorschläge unterbreiten, Schwachstellen finden, auf diese hinweisen und sie sogleich beheben. So ermöglicht es das Zusammenspiel der gesamten Community, dass innovative Projekte mit sicherem Code entstehen.
Und genau das ist es, was schlussendlich die Power von Open Source ausmacht: Denn nicht selten arbeiten so hunderte (oder gar tausende) Personen aus verschiedensten Regionen, Zeitzonen und kulturellen Backgrounds gemeinsam an einem Projekt. Dadurch spiegeln sie nicht nur den Kern der Innovationskraft von Open Source wieder sondern sorgen gleichzeitig auch dafür, dass der Code insgesamt sicherer wird. Um hierbei die Sicherheit der weltweiten Software zu stärken, müssen wir es Entwicklern, Maintainern, Unternehmen und Forschern ermöglichen, so einfach wie möglich zusammenzuarbeiten. Indem wir diese Schritte so weit wie möglich automatisieren, können wir der Gemeinschaft helfen.

“Verlagerung der Sicherheit nach links”

Als Open-Source-Plattform mit mehr als 50 Millionen Entwicklern wissen wir, dass uns eine wichtige Rolle bei der Gewährleistung der Sicherheit des Codes zukommt. Allein im vergangenen Jahr wurden durch das automatische Scannen auf Sicherheitslücken auf GitHub 12,3 Millionen Warnmeldungen an Entwickler verschickt und von diesen im Anschluss behoben. Außerdem haben wir unsere sicheren Entwicklungsprozesse weiter automatisiert, indem wir den Code bereits während der Entwicklungs- und Testphasen kontinuierlich nach Schwachstellen durchsuchen.
Durch das “Verschieben der Sicherheit nach links" (Shift Left) sind die Entwickler in der Lage, Sicherheitsprobleme bereits in der Entwicklungsphase zu finden, anstatt sie erst im Nachhinein beim Testen zu erkennen. Die Verwendung von automatisiertem Code Scanning ermöglicht dabei das Aufdecken von Software-Schwachstellen viel früher im Prozess, weit bevor der Code in den Produktionszyklus gelangt.

Sicherheit als eine kollektive Gemeinschaftsaufgabe

Open-Source-Software bildet heute die Grundlage für den Großteil der modernen Software, die uns umgibt. Ihr kollaborativer Charakter gilt dabei als einer der größten Vorteile, wenn es um die Frage der Sicherheit der Software geht. Aber: Diese Sicherheit liegt in der Verantwortung eines jeden Einzelnen und kann nicht auf einige wenige ausgelagert werden. Für alle Teilnehmer der Open-Source-Gemeinschaft - vom einzelnen Programmierer bis hin zu großen Konzernen - gilt es, nicht nur sichere Praktiken über den gesamten Entwicklungs-Lifecycle hinweg zu nutzen, zu fördern und weiterzuentwickeln, sondern darüber hinaus auch stetig Feedback, Ideen und Ressourcen an die Open-Source-Gemeinschaft zurückzugeben, um so gemeinsam eine sicherere digitale Welt zu schaffen, die schlussendlich allen zugutekommt.
Johannes Nicolai (Principal Solutions Engineer bei GitHub)
Johannes Nicolai
Johannes Nicolai ist ein langjähriger Open-Source-Enthusiast und Contributor. In seiner Position als Enterprise Solutions Engineer bei GitHub unterstützt er Unternehmen wie BMW, Continental, Daimler, Deutsche Börse und SAP bei technischen und kulturellen Herausforderungen rund um Software Entwicklung und Open/Inner- Source. Vor GitHub war Johannes bei CollabNet als Europaleiter R&D für die Weiterentwicklung von Subversion, SourceForge, TeamForge und Gerrit zuständig.
 


Das könnte Sie auch interessieren