Jetzt auch mobil Kommentieren!

Bank-Apps besonders betroffen: Open Source oft ein Sicherheitsrisiko

Von John Woll am 20.04.2017 20:55 Uhr
26 Kommentare
Viele kommerzielle Anwendungen setzen auf Open-Source-Komponenten, um ihre Dienste zu realisieren. Eine Studie warnt jetzt, dass Entwickler dabei oft veraltete oder fehlerhafte Versionen verwenden, bei Banking-Apps ist dieses Problem besonders deutlich.

Alt & mit Lücken

Für seine "Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017" hat Black Duck, Spezialist für Open-Source-Audits, in diesem Jahr über 1000 kommerzielle Anwendungen auf Herz und Nieren überprüft. Dabei wurde festgestellt, dass im Schnitt ein Drittel des Codes aus Open-Source-Projekten stammt - jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt werden dabei am häufigsten genutzt.

Open365: Open Source-Alternative zu Office 365 vor dem Start
Laut diesem Ergebnis ist aber auch ein alarmierender Trend zu registrieren: zwei Drittel der untersuchten Software-Produkte nutzen veraltete Versionen von Open-Source-Komponenten und öffnen damit unter anderem Sicherheitslücken, die eigentlich schon geschlossenen wurden. In 1,5 Prozent der Anwendungen fanden die Experten tatsächlich noch immer den OpenSSL-Bug Heartbleed - dieser war vor mehr als drei Jahren geschlossen worden.

Neben diesem bekannten Fehler geht das größte Risiko bei der Verwendung von Open-Source durch kommerzielle Nutzer nach Aussage von Black Duck demnach aktuell von den Komponenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat , dem Spring-Framework und OpenSSL aus. Ein weiterer interessanter Fakt: In 85 Prozent der Fälle wurden die Open Source-Lizenzbestimmungen nicht vollständig eingehalten. Bei gut der Hälfte kommt externer Code zum Einsatz, dessen Lizenz überhaupt nicht bekannt ist.

Negativbeispiel Banking-Apps

Laut Black Duck war der höchste Anteil an Software-Produkten mit gefährlichen Schwachstellen ausgerechnet in den Branchen Handel und E-Commerce sowie Internet- und Software-Infrastruktur zu finden. Besonders schlagen die Experten darüber hinaus bei Finanzdienstleistern und Fintech-Unternehmen Alarm. So will man in jeder untersuchten Banking-App im Durchschnitt 52 Open-Source-Schwachstellen registriert haben, in 60 Prozent der Fälle sei darunter auch eine kritische Lücke. Die "Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017" kann auf der Black Duck-Seite (nach Registrierung) abgerufen werden.

Download
Opensource-DVD - Reichhaltige Opensource-Sammlung
whatsapp
26 Kommentare lesen & antworten
Verwandte Themen
Open Source
Hoch © 2000 - 2017 WinFuture Impressum