Diebold Nixdorf - Vertriebseffizienzanalyse - Das Ende vom Prinzip Zufall
SECURITY12. Oktober 2017

Open Source: 22 Prozent der Branchen-Apps bei Banken seien betroffen; 17 hoch­riskante Schwachstellen

Black Duck

Black Duck (Anbieter auto­ma­ti­sier­ter Test-Lösungen für Sicherung und Verwaltung von Open Source-Software) hat die Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 veröffentlicht. Der Report zeigt signifikante und branchenübergreifende Risiken im Zusammenhang mit Open-Source-Schwachstellen sowie Lizenz-Compliance-Herausforderungen auf – auch für Banken und Finanzdienstleistungen.

Black Duck führt jährlich Hunderte von Open-Source-Code-Audits durch, die primär mit Fusions- und Übernahme-Transaktionen zusammenhängen. Das Center for Open Source Research & Innovation (COSRI) analysierte 1.071 der im Jahr 2016 geprüften Applikationen und fand sowohl ein hohes Maß an Open-Source-Nutzung – 96 % der-Apps enthielten Open Source – als auch ein signifikantes Risiko für Schwachstellen – mehr als 60 % der Apps enthielten Open-Source-Sicherheitslücken.

Black Duck

Finanzbranche: 52 Open-Source-Schwachstellen pro Anwendung

Auffallend war, dass die Prüfungsergebnisse von Anwendungen aus der Finanzbranche 52 Open-Source-Schwachstellen pro Anwendung enthielten, und 60 % der Anwendungen wiesen Hoch-Risiko-Schwachstellen auf. Die Einzelhandels- und E-Commerce-Branche verzeichnete den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen, wobei 83 % ihrer geprüften Anwendungen Hoch-Risiko-Sicherheitslücken hatten.

Open-Source-Lizenzkonflikte sind weit verbreitet – Weckruf für Banken und Finanzdienstleister

Black Duck

Die untersuchten Anwendungen enthielten durchschnittlich 147 Open-Source-Komponenten – eine gewaltige Anzahl von Lizenzverpflichtungen, die es nachzuvollziehen gilt – und tatsächlich enthielten 85 % der untersuchten Anwendungen Komponenten mit Lizenzproblemen. Am häufigsten waren es GNU General Public License (GPL)-Probleme. Obwohl 75 % der Anwendungen Komponenten der GPL-Lizenz-Familie enthielten, hielten nur 45 % dieser Anwendungen die GPL-Vorgaben ein.

Black Duck

Open Source Nutzung ist weltweit allgegenwärtig und jüngste Forschungsberichte zeigen, dass zwischen 80 % und 90 % des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open-Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung. Unsere Audit-Ergebnisse bestätigen diesen universellen Nutzen, offenbaren aber auch ein beunruhigendes Niveau von Ineffektivität, wenn es um die Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht.“

Lou Shipley, Black Duck CEO

Black Duck

Shipley sagte, er würde erwarten, dass die Open Source-Audit-Ergebnisse Führungskräften im Bereich Security die Augen öffnen, weil die Anwendungsschicht ein primäres Ziel für Hacker ist. Exploits von Open-Source-Schwachstellen sind das größte Anwendungssicherheits-Risiko, das die meisten Unternehmen haben.

Black Duck

Alle nutzen jede Menge Open Source, aber wie die Audits zeigen, machen nur wenige einen adäquaten Job, wenn es um das Auffinden, Beseitigen und Überwachen von Open-Source-Schwachstellen in ihren Anwendungen geht.“

Chris Fearon, Director Black Duck Open Source Security Research Group

Die OSSRA-Analyse steht hier (nach Angabe der Kontaktdaten) kostenfrei zum Download bereit.

 
Sie finden diesen Artikel im Internet auf der Website:
https://www.it-finanzmagazin.de/?p=58635
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Stimmen, Durchschnitt: 3,00 von maximal 5)
Loading...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitkom-Befragung: „Jeder vierte Internetnutzer besucht keine Bankfiliale mehr“

Geld wird zunehmend digital verwaltet und angelegt – sagt die Bitkom. Rund jeder vierte Internetnutzer (24 Prozent) würde Bankgeschäfte ausschließlich online regeln. Das entspräche...

Schließen