Zu viele kritische Open-Source-Projekte noch immer nicht speichersicher

Seit Jahren versuchen Sicherheitsexperten darauf hinzuwirken, dass wichtige Software-Projekte mit speichersicheren Programmiersprachen umgesetzt werden. In den meisten Fällen ist dies allerdings bis heute nicht der Fall.
Hacker, Security, Hack, Entwickler, Entwicklung, Cybersecurity, Exploit, Hacking, Code, Programmierung, Quellcode, Programmierer, Developer, Sdk, Programmieren, Sourcecode, Cyber, Dev, Coding, Coder, Development, Binärcode, Binär
Sicher: Die komplette Umstellung einer wichtigen und weitverbreiteten Anwendung auf eine neue Codebasis ist mit großem Aufwand verbunden. Dieser kann aber durchaus gerechtfertigt sein, wenn man dadurch regelmäßig auftretende Sicherheitsprobleme aufgrund einfacher Alltagsfehler komplett unterbinden kann - immerhin verursachen diese immer wieder beträchtliche Schäden.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat jetzt gemeinsam mit mehreren Partnern eine Bestandsaufnahme unter den großen Open-Source-Projekten gemacht. 172 Anwendungen wurden dabei genauer unter die Lupe genommen und es zeigte sich, dass mehr als die Hälfte von ihnen noch immer Code enthält, in dem Speicher-Bugs wie Buffer Overflows nicht automatisiert verhindert werden.

Schlechtes Vorbild: Linux

Das Ergebnis der Untersuchung besagt, dass 52 Prozent der analysierten kritischen Open-Source-Projekte Code enthalten, der in speicherunsicheren Sprachen geschrieben wurde.

55 Prozent der gesamten Codezeilen (Lines of Code, LoC) in diesen Projekten sind in speicherunsicheren Sprachen geschrieben. Die größten Projekte sind überproportional häufig in speicherunsicheren Sprachen programmiert.

Einige bemerkenswerte Beispiele aus der untersuchten Menge sind:

  • Linux (unsicherer Codeanteil 95 Prozent)
  • Tor (unsicherer Codeanteil 93 Prozent)
  • Chromium (unsicherer Codeanteil 51 Prozent)
  • MySQL Server (unsicherer Codeanteil 84 Prozent)
  • glibc (unsicherer Codeanteil 85 Prozent)
  • Redis (unsicherer Codeanteil 85 Prozent)
  • SystemD (unsicherer Codeanteil 65 Prozent)
  • Electron (unsicherer Codeanteil 47 Prozent)

Das herausragende Beispiel einer speichersicheren Sprache ist dabei natürlich Rust, das sich mit seinem Borrow-Checker um die Angelegenheit kümmert. Auch Sprachen wie Golang, Java, C# und Python verwalten den Speicher recht sicher über die Garbage Collection, die den freigegebenen Speicher automatisch zurückfordert, um eine Ausnutzung zu verhindern.

Zusammenfassung
  • Sicherheitsexperten fordern speichersichere Programmiersprachen für wichtige Projekte
  • Umstellung auf neue Codebasis ist aufwendig, aber kann Sicherheitsprobleme lösen
  • CISA und Partner untersuchten 172 große Open-Source-Projekte auf Speicher-Bugs
  • 52 Prozent der kritischen Open-Source-Projekte verwenden speicherunsicheren Code
  • 55 Prozent der gesamten Codezeilen sind in speicherunsicheren Sprachen geschrieben
  • Beispiele: Linux (95 Prozent unsicher), Tor (93 Prozent), Chromium (51 Prozent)
  • Rust, Golang, Java, C# und Python gelten als speichersichere Programmiersprachen

Siehe auch:
Thema:
Open Source
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Open-Source-Downloads
Videos zum Thema
  • Neueste
  • Beliebte
  • Empfehlung
Weitere Software-Videos
Beiträge aus dem Forum
Zu den Software-Foren
Weiterführende Links
Neue Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!