Bank-Apps besonders betroffen: Open Source oft ein Sicherheitsrisiko

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Viele kommerzielle Anwendungen setzen auf Open-Source-Komponenten, um ihre Dienste zu realisieren. Eine Studie warnt jetzt, dass Entwickler dabei oft veraltete oder fehlerhafte Versionen verwenden, bei Banking-Apps ist dieses Problem besonders deutlich.

Alt & mit Lücken

Für seine "Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017" hat Black Duck, Spezialist für Open-Source-Audits, in diesem Jahr über 1000 kommerzielle Anwendungen auf Herz und Nieren überprüft. Dabei wurde festgestellt, dass im Schnitt ein Drittel des Codes aus Open-Source-Projekten stammt - jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt werden dabei am häufigsten genutzt.


Laut diesem Ergebnis ist aber auch ein alarmierender Trend zu registrieren: zwei Drittel der untersuchten Software-Produkte nutzen veraltete Versionen von Open-Source-Komponenten und öffnen damit unter anderem Sicherheitslücken, die eigentlich schon geschlossenen wurden. In 1,5 Prozent der Anwendungen fanden die Experten tatsächlich noch immer den OpenSSL-Bug Heartbleed - dieser war vor mehr als drei Jahren geschlossen worden.

Neben diesem bekannten Fehler geht das größte Risiko bei der Verwendung von Open-Source durch kommerzielle Nutzer nach Aussage von Black Duck demnach aktuell von den Komponenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat , dem Spring-Framework und OpenSSL aus. Ein weiterer interessanter Fakt: In 85 Prozent der Fälle wurden die Open Source-Lizenzbestimmungen nicht vollständig eingehalten. Bei gut der Hälfte kommt externer Code zum Einsatz, dessen Lizenz überhaupt nicht bekannt ist.

Negativbeispiel Banking-Apps

Laut Black Duck war der höchste Anteil an Software-Produkten mit gefährlichen Schwachstellen ausgerechnet in den Branchen Handel und E-Commerce sowie Internet- und Software-Infrastruktur zu finden. Besonders schlagen die Experten darüber hinaus bei Finanzdienstleistern und Fintech-Unternehmen Alarm. So will man in jeder untersuchten Banking-App im Durchschnitt 52 Open-Source-Schwachstellen registriert haben, in 60 Prozent der Fälle sei darunter auch eine kritische Lücke. Die "Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017" kann auf der Black Duck-Seite (nach Registrierung) abgerufen werden.

Download
Opensource-DVD - Reichhaltige Opensource-Sammlung
Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren26
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:40 Uhr Seagate Backup Plus Slim, 2TB, externe tragbare Festplatte inkl. Backup-Software, USB 3.0, PC & MAC & PS4 (STDR2000201)
Seagate Backup Plus Slim, 2TB, externe tragbare Festplatte inkl. Backup-Software, USB 3.0, PC & MAC & PS4 (STDR2000201)
Original Amazon-Preis
89,99
Im Preisvergleich ab
88,39
Blitzangebot-Preis
79,90
Ersparnis zu Amazon 11% oder 10,09

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden