Was jeder CSO über Open-Source-Software wissen sollte

Anwendungssicherheit für Open-Source-Software – Neuland für CSOs. Durch Sensibilisierung und neue Open-Source-Managementtools können Probleme angegangen und die Lücken geschlossen werden, wie dieses Whitepaper von Flexera erklärt.

Die Auswirkungen der Entwicklung neuer Softwareprogramme auf die Bilanz eines Unternehmens sind in den letzten 20 Jahren drastisch gestiegen. 2015 berichtete Forrester Research, dass Unternehmen in Nordamerika, Europa und Asien mindestens 620 Milliarden USD in Bemühungen auf diesem Gebiet investierten.

Intern entwickelte Anwendungen bieten Wettbewerbsvorteile für führende Unternehmen. Entwickler verwenden oft Komponenten von Open-Source-Software (OSS), um kritische Funktionalitäten in diesen Anwendungen bereitzustellen. Webbasierte, externe Anwendungen stellen mit Blick auf Rentabilität eine große Chance dar. Der Einsatz von OSS ohne sorgfältige Überwachung birgt aber auch potenzielle Risiken für die betreffenden Organisationen. Laut einer Studie von Gartner Group und Symantec zielten fast 90 Prozent der Softwareangriffe auf die Anwendungsebene ab.

Die meisten Chief Security Officers (CSOs) gehen davon aus, dass ausreichende Anwendungssicherheitslösungen implementiert sind. Sie investieren in Firewalls, webbasierte Authentifizierung, Eindringungserkennung und Identitätsverwaltungssysteme. Diese Lösungen sind jedoch nur zur Sicherung des Perimeters durch Management des Datenverkehrs zu den Anwendungen gedacht. Keine dieser Lösungen konzentriert sich auf die Absicherung der Anwendungen von innen heraus durch Härtung des Anwendungscodes oder durch Schwachstellenmanagement.

Die Anwendungssicherheit für eine Open-Source-Strategie erfordert Prozesse, Training und Tools. Ebenfalls erforderlich ist die Zusammenarbeit von Sicherheits- und Entwicklerteams. Diese Partnerschaft basiert auf zwei wichtigen Elementen: eine vom Entwicklerteam durchgeführte präzise Inventarisierung der verwendeten Open-Source-Komponenten und ein vom Sicherheitsteam verwaltetes System zum Zuordnen der verwendeten Open-Source-Projekte zu bekannten und veröffentlichten Schwachstellen. Durch Sensibilisierung und robuste, neue Open-Source-Managementtools können beide Probleme angegangen und die Lücke geschlossen werden. Details präsentiert dieses Whitepaper von Flexera.