Open Source Softwareprojekte kämpfen weiterhin mit dem Schutz sensibler Daten

Mit der wachsenden Bedeutung und Menge von Daten wird Cybersecurity – ohnehin schon ein erfolgskritischer Faktor – immer wichtiger. Leider lernen Entwickler auf ihrem Bildungsweg bislang nur selten, wie sicher programmiert wird – doch Unternehmen können hier selber nachhelfen.

Open Source Softwareprojekte kämpfen weiterhin mit dem Schutz sensibler Daten

Wie unter anderem in Darkreading veröffentlicht, kämpfen Open Source Softwareprojekte auch weiterhin mit dem Schutz sensibler Daten. Begründet liegt das in der Zahl hunderter Millionen von automatisierten Scans zur Überprüfung der Code Repositories. Das Schweizer Start-up DeepCode, eine Ausgründung der Eidgenössischen Technischen Hochschule Zürich, hat herausgefunden, dass vier von sieben Schwachstellenklassen mit den größten Auswirkungen auf die Sicherheit von Softwareprojekten mit Fehlern beim Datenschutz zu tun haben.

Die Zahl der gemeldeten Software-Sicherheitsprobleme hat 2019 einen neuen Höchststand erreicht. Die National Vulnerability Database verzeichnet über 17.300 Einträge. Die Rekordzahl speist sich aus verschiedenen Prämissen, so der verstärkten Forschung im Bereich Sicherheitssoftware, der stetig wachsenden Zahl von Softwareentwicklungen überhaupt, der wachsenden Bereitschaft von Firmen, Schwachstellen offenzulegen und zu beschreiben und den Verbesserungen bei der Zusammenstellung und Veröffentlichung der Schwachstellenreports. 

Zum Thema ein kurzer Kommentar von Boris Cipot, Senior Security Engineer, Synopsys: 

Beim Programmieren Sicherheit ins Zentrum der Softwareentwicklung zu stellen, ist immer noch ein reales Problem, und das nicht nur für OSS-Projekte, sondern generell für die überwiegende Mehrzahl von Unternehmen. Dazu kommt, dass es sich dabei um ein nicht ganz triviales Problem handelt. Viele Entwickler haben sich ihre Kenntnisse autodidaktisch erworben oder an speziellen Schulen. Auf diesen Kenntnissen fußt dann entweder die professionelle Karriere eines Entwicklers oder sein Engagement in OSS- oder eignen Projekten. Wer Programmierkenntnisse erwirbt (unabhängig davon, ob in Eigenregie über Tutorials oder an entsprechenden Ausbildungsstätten), der konzentriert sich in erster Linie darauf, wie man am besten bestimmte Funktionalitäten entwickelt. Probleme und offene Fragen zur Sicherheit bei der Programmierung, die darüber hinausgehen, werden wenig bis gar nicht thematisiert. 

Unsere Kunden fragen nicht selten nach, wie sie am besten diesen Fokus in ihre Entwicklungszyklen integrieren. Es gibt einiges, das man tun kann, um Sicherheit den nötigen Stellenwert innerhalb der Softwareentwicklung zu geben. Ein Aspekt sind Schulungen. Trainings, die demonstrieren, wie man sicheren im Gegensatz zu unsicherem Code entwickelt, ist ein erster wirkungsvoller Schritt. Das reicht allerdings nicht aus. Firmen sollten Methoden etablieren, um unsichere Codebestandteile und Schwachstellen beispielsweise in OSS-Komponenten erkennen zu können. Tools zur statischen Code-Analyse wie etwa Coverity und Softwareanalyse-Tools wie Black Duck unterstützen Entwickler dabei, potenziell risikoträchtige Code-Bestandteile zu finden. 

Wer Sicherheit zu einem zentralen Teil aller Entwicklungsprozesse macht, der wird die Risiken signifikant senken. Um diese Risiken und Schwachstellen aber auch zu beseitigen, muss man sie so früh wie möglich innerhalb des betreffenden Prozesses identifizieren und nicht erst dann, wenn man das Produkt schon zur Marktreife gebracht hat. Je schneller und je früher das nötige Wissen und die richtigen Tools bei Entwicklern ankommen, desto besser ist es.

Wenn Unternehmen das beherzigen, wird sich das auch auf OSS-Projekte auswirken, zu denen die Mitarbeiter selbst beitragen. Und das wiederum wirkt sich positiv auf das gesamte OSS-Ökosystem und seine Nutzer aus. 

Viele haben hier die Möglichkeit von wenigen zu lernen und damit einen Entwicklungsansatz, bei dem die Sicherheit im Mittelpunkt steht, weiter voranzutreiben. Allerdings sind Schulen und Anbieter von Tutorials gleichermaßen gefragt, sich Gedanken zu machen, wie sie das Thema sichere Programmierung am besten vermitteln, statt weiterhin anfällige Methoden der Softwareentwicklung weiterzugeben. Etliche Anbieter haben diesen Weg bereits eingeschlagen, leider noch nicht alle.

vor 1 Monat