Quelloffene Bibliotheken

Firmen öffnen Schadcode selbst die Tür

Thomas Pelkmann ist freier Journalist in München.
Viele selbst programmierte Anwendungen in Firmen basieren auf einer kleinen Zahl frei erhältlicher Libraries - mit vielen Schwachstellen, warnt Aspect Security.

Genau 80 Prozent des Codes aktueller Anwendungen im Firmendienst stammt aus im Schnitt 30 frei erhältlichen Libraries und Frameworks. Das ist die Kernaussage des Reports "The Unfortunate Reality of Insecure Libraries", herausgegeben von Aspect SecuritySecurity. Alles zu Security auf CIO.de

Dennoch werde das Risiko von Schwachstellen in diesen weit verbreiteten Code-Schnipseln weitgehend ignoriert und unterschätzt, so der Report. Dabei sind gerade die Einzelteile eine Einladung an Hacker, weil sie - einmal geknackt - prinzipiell Zugang zu einer großen Zahl von Unternehmensanwendungen und damit zu Daten, Transaktionen und Kommunikationsschnittstellen bieten.

Open-Source-Libraries bei den Fortune 500

Dass das kein Exotenproblem ist, zeigt eine andere Statistik des Berichts. Demnach nutzen mindestens die Hälfte der Fortune-500-Unternehmen weltweit Open-Source-Libraries für ihre Enterprise-Software. Und zwar nicht zu knapp: Die Bibliothek Spring MVC etwa fand in den vergangenen zwölf Monaten über 100 Mal pro Stunde den Weg in die Firmen-Codes, die Sicherheitsbibliothek Log4j wurde im selben Zeitraum 152.000 Mal heruntergeladen - mindestens, denn die Autoren des Reports halten ihre eigenen Zahlen noch für maßlos untertrieben.

Für die Studie hat Aspect Security 113 Millionen Downloads aus den Central Repositories der 31 populärsten Java-Frameworks und Sicherheitsbibliotheken ausgewertet. In diesem Repositorium warten mehr als 300.000 Bibliotheken auf ihre Verwendung in größeren Code-Sammlungen.

* Eine der zentralen Erkenntnisse der Studie: Mehr als jede vierte Library (29,8 Millionen Stück, 26 Prozent) hat bekannte Schwachstellen.

Zur Startseite