Wenn die CISA warnt: Open-Source-Projekte nicht sicher genug

In einem gemeinsamen Bericht mit dem FBI, dem Australian Cyber Security Centre des Australian Signals Directorate und dem Canadian Cyber Security Center analysierte die CISA 172 Projekte, die von der OpenSSF Securing Critical Projects Working Group's List of Critical Projects stammen.

Die Untersuchung ergab, dass mehr als die Hälfte (52 Prozent) der Projekte in speicherunsicheren Sprachen geschriebenen Code enthalten, der eine manuelle Verwaltung des Speichers erfordert und das Risiko von Fehlern erhöht, die zu Sicherheitslücken führen können. Das Gleiche gilt für 55 Prozent der gesamten Codezeilen aller Projekte.

Fokus auf die Beseitigung von Schwachstellen

Chris Wysopal, CTO und Gründer von Veracode, kommentiert diese Erkenntnisse folgendermaßen: „Dieser gemeinsame Bericht unterstreicht etwas, das wir leider nur zu gut kennen. Die Beseitigung von Schwachstellen in der Speichersicherheit ist nach wie vor ein weltweites Problem, das bereits im ONCD-Bericht vom Februar aufgezeigt wurde. Es entsteht insbesondere aufgrund des Kosten- und Zeitdrucks beim Umschreiben bestehender Software. Hier können schnell einmal neue Schwachstellen entstehen.“

„Eine Lösung für bereits im Einsatz befindliche Software besteht darin, die kritischen Angriffskomponenten in bereits vorhandener Software in speichersicheren Sprachen neu zu schreiben“, erklärt der Gründer von Veracode. „Um OSS jedoch erfolgreich für die Zukunft zu sichern, sollte auf die Beseitigung von Schwachstellen von Anfang an fokussiert werden. Patches und inkrementelle Sicherheitslösungen helfen nur bis zu einem gewissen Punkt. Neue Software muss in speichersicheren Sprachen geschrieben werden. Das hat sich in der Vergangenheit als effektiv erwiesen.“

„Die stetigen Fortschritte des Marktes in Richtung Verbesserung in diesem Jahr stimmen mich positiv“, so Chris Wysopal. „Es wird intensiv daran gearbeitet, eine vertrauenswürdige Messung für Softwaresicherheit aufzubauen. Die „Secure by Design“-Forderung der CISA ist ein hervorragendes Beispiel dafür, wie Anbieter dazu angehalten werden, Systeme von Anfang an sicher zu gestalten, und wie staatliche Organe Anbieter oder Hersteller in Sachen Software Sicherheit zur Verantwortung ziehen können."

Unternehmen und die Umsetzung der digitalen Transformation

Induktiver Drehgeber mit integrierter Vibrationsanalyse

Platz im Schaltschrank besser ausnutzen

Geräte und Maschinen über 5G sicher ins Netzwerk bringen

Ein weltweites Problem Wenn die CISA warnt: Open-Source-Projekte nicht sicher genug

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt aktuell davor, dass viele kritische Open-Source-Projekte keine speichersicheren Programmiersprachen verwenden. Veracode kommentiert die aktuelle Warnung der CISA und wie sich Unternehmen schützen können.

Fokus auf die Beseitigung von Schwachstellen

Veracode

Schutz in anspruchsvollen Umgebungen

Effizientes Störungsmanagement wird ab Oktober zur Pflicht

Leoni reduziert CO₂-Fußabdruck ihrer Produkte um die Hälfte

Neuen Bestückungslinie erfüllt steigendem Bedarf an Sicherheitssensorik

Zukunftsfähig mit SPE, IO-Link & Sensor-to-Cloud

Weltweit kleinster RFID-Sicherheits-Schalter mit Zuhaltung

Sicherheitssteuerung mit flexiblen Konfigurationsmöglichkeiten

Cobots: Die Eierlegende Wollmilchsau

Wie Software und KI-basierte visuelle Qualitätskontrolle den Markt verändert

Digital Information Twins: Der Schlüssel zur Zukunftsfähigkeit