Quelloffene Bibliotheken

Firmen öffnen Schadcode selbst die Tür

Thomas Pelkmann ist freier Journalist in München.

* Die am häufigsten heruntergeladenen Libraries mit Schwachstellen sind GWT, Xerces, Spring MVC, and Struts 1.x.

* Sinnigerweise sind Sicherheitsbibliotheken etwas häufiger der Gefahr von Schwachstellen ausgesetzt als die Frameworks für Web Applications.

Die meisten infizierten Libraries sind bisher unentdeckt

* Extrapoliert man die Zahl unentdeckter Bibliotheken aus dem bekannten Anteil von Schadcode, ergibt sich die bittere Wahrheit, dass wohl der größte Teil infizierter Libraries bislang unentdeckt in den Repositories schlummert.

* Das führt dazu, dass eine typische Java-Applikation mindestens eine schadhafte Library enthält, so der Report.

Eine durchschnittliche Library besteht aus zwischen 10.000 und 200.000 Codezeilen. Pro 10.000 Zeilen sind durchschnittlich fünf bis zehn Schwachstellen zu erwarten, die das Eindringen von Schadsoftware ermöglichen. Legt man diese Rechnung zugrunde, ist schwer vorstellbar, dass es überhaupt Bibliotheken gibt, die ohne Schadenspotenzial daherkommen. Wahrscheinlicher dagegen ist, dass sie noch niemand auf solche Schwachstellen untersucht hat.

Zur Startseite