Ein weltweites Problem Wenn die CISA warnt: Open-Source-Projekte nicht sicher genug

Wenn die CISA warnt – Wie kann man Open Source Projekte sicher machen?

Bild: iStock, BitsAndSplits
09.07.2024

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) warnt aktuell davor, dass viele kritische Open-Source-Projekte keine speichersicheren Programmiersprachen verwenden. Veracode kommentiert die aktuelle Warnung der CISA und wie sich Unternehmen schützen können.

In einem gemeinsamen Bericht mit dem FBI, dem Australian Cyber Security Centre des Australian Signals Directorate und dem Canadian Cyber Security Center analysierte die CISA 172 Projekte, die von der OpenSSF Securing Critical Projects Working Group's List of Critical Projects stammen.

Die Untersuchung ergab, dass mehr als die Hälfte (52 Prozent) der Projekte in speicherunsicheren Sprachen geschriebenen Code enthalten, der eine manuelle Verwaltung des Speichers erfordert und das Risiko von Fehlern erhöht, die zu Sicherheitslücken führen können. Das Gleiche gilt für 55 Prozent der gesamten Codezeilen aller Projekte.

Fokus auf die Beseitigung von Schwachstellen

Chris Wysopal, CTO und Gründer von Veracode, kommentiert diese Erkenntnisse folgendermaßen: „Dieser gemeinsame Bericht unterstreicht etwas, das wir leider nur zu gut kennen. Die Beseitigung von Schwachstellen in der Speichersicherheit ist nach wie vor ein weltweites Problem, das bereits im ONCD-Bericht vom Februar aufgezeigt wurde. Es entsteht insbesondere aufgrund des Kosten- und Zeitdrucks beim Umschreiben bestehender Software. Hier können schnell einmal neue Schwachstellen entstehen.“

„Eine Lösung für bereits im Einsatz befindliche Software besteht darin, die kritischen Angriffskomponenten in bereits vorhandener Software in speichersicheren Sprachen neu zu schreiben“, erklärt der Gründer von Veracode. „Um OSS jedoch erfolgreich für die Zukunft zu sichern, sollte auf die Beseitigung von Schwachstellen von Anfang an fokussiert werden. Patches und inkrementelle Sicherheitslösungen helfen nur bis zu einem gewissen Punkt. Neue Software muss in speichersicheren Sprachen geschrieben werden. Das hat sich in der Vergangenheit als effektiv erwiesen.“

„Die stetigen Fortschritte des Marktes in Richtung Verbesserung in diesem Jahr stimmen mich positiv“, so Chris Wysopal. „Es wird intensiv daran gearbeitet, eine vertrauenswürdige Messung für Softwaresicherheit aufzubauen. Die „Secure by Design“-Forderung der CISA ist ein hervorragendes Beispiel dafür, wie Anbieter dazu angehalten werden, Systeme von Anfang an sicher zu gestalten, und wie staatliche Organe Anbieter oder Hersteller in Sachen Software Sicherheit zur Verantwortung ziehen können."

Firmen zu diesem Artikel
Verwandte Artikel