Software-Lieferkette: Risiken durch Open Source
Die Software-Lieferkette umfasst alle Aspekte einer Anwendung, vom Code selbst über die Menschen, die ihn erstellen und nutzen, bis hin zu den verwendeten Werkzeugen und Prozessen.
Besonders wichtig ist es, Open-Source-Komponenten zu identifizieren, zu verfolgen und zu verwalten.
Moderne Tools und Programme werden nicht mehr von Grund auf neu erstellt, sondern aus Teilen zusammengesetzt, die von verschiedenen Unternehmen entwickelt wurden. Das macht die Software-Lieferkette heute komplexer denn je. Diese Entwicklung ist an sich nicht neu – aber erst jetzt haben Unternehmen branchenübergreifend und unabhängig davon, ob sie Software entwickeln, betreiben oder nutzen, die Risikoeinschätzung ihrer eigenen Software-Lieferkette und die Suche nach Verfahren sie zu schützen zur obersten Priorität gemacht.
Angesichts der nicht enden wollenden Schlagzeilen über die jüngsten Angriffe, Vorfälle und Sicherheitslücken – Apache Log4Shell, OpenSSL, Typo-Squatting, um nur einige zu nennen – ist diese verstärkte Aufmerksamkeit durchaus gerechtfertigt. Der gemeinsame Nenner: Sie alle haben mit Open-Source-Software zu tun.
Open-Source-Software erlaubt es zahllosen Unternehmen, ihre Produkte mit einer Geschwindigkeit und in einem Umfang auf den Markt zu bringen, welche die digitale Transformation überhaupt erst ermöglicht. So belegt der von Synopsys erstellte Bericht „Open Source Security and Risk Analysis (OSSRA) 2023“, für den die Ergebnisse von mehr als 1.700 Audits kommerzieller und proprietärer Codebasen bei Fusionen und Übernahmen in 17 Branchen untersucht wurden, dass 96 Prozent aller Anwendungen Open-Source-Komponenten enthalten, wobei 76 Prozent des gesamten Anwendungsaufbaus Open-Source sind. Software wird offensichtlich nicht mehr neu entwickelt. Vielmehr wird sie unter Verwendung von Codes, Bibliotheken, Betriebssystemen, Konfigurationen und vielen weiteren Aspekten aus verschiedenen Quellen zusammengestellt.
Probleme durch Open-Source-Software
Der OSSRA-Bericht dokumentiert weiterhin Schwachstellen in 84 Prozent der Anwendungen. 48 Prozent der analysierten Anwendungen enthalten hochriskante Sicherheitslücken. Bringt man diese Zahl mit der Tatsache in Verbindung, dass 89 Prozent der Codebasen Komponenten enthalten, die seit mehr als vier Jahren nicht mehr aktualisiert wurden, wird deutlich, dass Unternehmen erhebliche Schwierigkeiten haben, die verwendeten Open-Source-Komponenten zu verwalten.
Unabhängig davon, ob das Risiko mit Open-Source-Schwachstellen, Lizenzverstößen, Schadcode oder der Softwarequalität zusammenhängt, liegt das Problem in der Regel in der Fähigkeit eines Unternehmens, einen Überblick über seine Software-Lieferkette zu erhalten. Mit mehr Transparenz lassen sich diese Komponenten auf jede Art von Risiko hin überwachen.
Betrachten wir zum Beispiel bekannte Schwachstellen wie Log4Shell, die aufdeckt und verantwortungsvoll offengelegt wurden. Obwohl die Schwachstelle bereits im Dezember 2021 behoben wurde, verzeichnet der OSSRA-Bericht immer noch anfällige Versionen von Log4J in 11 Prozent der analysierten Java-Codebasen.
Darüber hinaus kann Schadcode, der über bekannte Schwachstellen hinaus vorsätzlich Sicherheitsrisiken verursacht, über Typo-Squatting, verwirrende Abhängigkeiten oder unter dem Deckmantel eines ansonsten vertrauenswürdigen Pakets in eine Anwendung gelangen. Bei der Analyse haben wir keine bekannten schädlichen Komponenten identifiziert, aber das heißt nicht, dass dies nicht ein erhebliches Risiko für Lieferketten darstellt.
Dazu kommen Komponenten, die nicht mehr von der Entwicklung unterstützt, die schlecht gewartet werden oder von Urhebern mit zweifelhaftem Ruf stammen – ein Einfallstor für Sicherheitsprobleme. Der OSSRA-Bericht verzeichnet, dass 91 Prozent der Codebasen Komponenten enthalten, die in den letzten zwei Jahren nicht weiterentwickelt wurden.
Auch die Lizenzkonformität kann zu einem heiklen Thema werden, wenn es um frei verfügbare Software geht. Zumal es Tausende verschiedene Arten von Lizenzen gibt, die von uneingeschränkt bis eingeschränkt und allem, was dazwischen liegt, reichen. Laut OSSRA 2023 wurde bei 54 Prozent der Codebasen irgendeine Art von Lizenzkonflikt mit Open-Source-Abhängigkeiten konstatiert.
Risikomanagement
Der Schlüssel beim Open-Source-Risikomanagement ist die vollständige Transparenz der Anwendungsinhalte. Jedenfalls, wenn das Risiko-Management mit modernen Entwicklungsgeschwindigkeiten mithalten will. Diese Transparenz sollte zu jedem Zeitpunkt in den Lebenszyklus einer Anwendung eingebaut werden. Denn sie liefert Unternehmen die Informationen, die sie brauchen, um nicht nur fundierte Entscheidungen zur Risikobewältigung zu treffen, sondern dies rechtzeitig tun zu können. Firmen, die Software von Drittanbietern nutzen, sollten zwingend davon ausgehen, dass diese Open-Source-Komponenten enthält. Dies zu überprüfen und das damit verbundene Risiko im Auge zu behalten, ist so einfach, wie eine SBOM zu pflegen. Etwas, das jeder Anbieter, der die notwendigen Schritte zur Sicherung seiner Software-Lieferkette unternimmt, problemlos liefern kann.