Black Duck: Open Source ist allgegenwärtig – und gefährlich

April 24, 2017 - 4:55 pm in OSS

[ad_1]

Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.

Kaum eine Software kommt noch ohne Open-Source-Komponenten aus. Das ist ein Kernergebnis der
Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017, für die der Spezialist für Open-Source-Audits Black Duck Software über 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht hat. Im Schnitt stammte ein gutes Drittel des Codes aus Open-Source-Projekten; am häufigsten genutzt wurden jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt.

Zwei Drittel dieser Anwendungen nutzten allerdings quelloffene Komponenten in Versionen mit bekannten Sicherheitslücken, darunter auch Schwachstellen mit einem hohen Risiko. Die höchsten Anteile an Anwendungen mit gefährlichen Schwachstellen fand Black Duck ausgerechnet in den Branchen Handel und E-Commerce, Internet und Software-Infrastruktur sowie bei Finanzdienstleisters und Fintechs.

Viele der Lücken sind alte Bekannte: Selbst der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch in 1,5 Prozent der untersuchten Anwendungen. Das größte Risiko ging von den Open-SOurce-Komponenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat , dem Spring-Framework und OpenSSL aus-

Zudem sind beim Einsatz von Open-Sourcre-Software Lizenzprobleme häufig. Laut Black Duck nutzen über 85 Prozent der Anwendungen Open Source, ohne deren Lizenzbestimmungen vollständig einzuhalten. In gut der Hälfte der untersuchten Anwendungen wurde externer Code gefunden, dessen Lizenz gar nicht bekannt ist.

Die komplette Studie steht nach einer Registrierung bei Black Duck Software zum Download zur Verfügung. (odi)

[ad_2]

Read more on: Source

Programmiersprache R steht in Version 3.4 bereit

April 24, 2017 - 4:48 pm in Software-Entwicklung

[ad_1] Die aktuelle Variante des Projekts für statistische Berechnungen soll sich vor allem durch konsistenteres Verhalten auszeichnen. Das vierte Update…

Geleakte NSA-Hackersoftware: Offenbar hunderttausende Windows-Computer infiziert

April 24, 2017 - 4:31 pm in Security

[ad_1] Weniger als zwei Wochen nachdem anonyme Hacker Software der NSA veröffentlicht haben, sollen fast 200.000 Geräte infiziert sein. Betroffen sind…

nachgehakt: Notebooks im Linux-Kompatibilitätstest

April 23, 2017 - 10:53 pm in OSS

[ad_1] nachgehakt: Notebooks im Linux-Kompatibilitätstest In Linux-Kreisen kursiert der Rat, abgehangene Hardware zu kaufen, damit Treiber einwandfrei funktionieren. Mythos oder Wahrheit? [ad_2] Read more on: Source

Docker versus Moby: Wie geht es mit Docker weiter?

April 23, 2017 - 10:47 pm in Software-Entwicklung

[ad_1] Nachdem die Vorstellung des Moby-Projekts Fragen zur Zukunft von Docker aufgeworfen hatte, wurde das Verhältnis der beiden Projekte zueinander jetzt noch einmal klarer formuliert. Um eventuelle Verwirrung um die Zukunft von Docker bei dessen Nutzern…

Zwei-Faktor-Authentifizierung mit Umgebungsgeräuschen

April 23, 2017 - 10:29 pm in Security

[ad_1] Forscher an der ETH Zürich haben ein Verfahren entwickelt, das Umgebungsgeräusche zweier Geräte vergleicht und damit eine automatische Zwei-Faktor-Authentifizierung ermöglicht. Die Zwei-Faktor-Authentifizierung ist bei vielen Internet-Diensten inzwischen…

Version 4.1 der Red Hat Virtualization freigegeben

April 23, 2017 - 4:51 am in OSS

[ad_1] Red Hat hat die Version 4.1 seiner Virtualisierungssoftware RHV veröffentlicht. Aktualisierungen gibt es unter anderem für die CloudForms, die OpenStack-Implementierung und bei der Ansible-Integration. Im von Red Hat nun freigegebenen Update auf die…

Mobile-App-Entwicklung mit Ionic 3

April 23, 2017 - 4:46 am in Software-Entwicklung

[ad_1] Nach etwa einem Jahr Entwicklungszeit haben die Macher von Ionic Anfang 2017 den Nachfolger des erfolgreichen App-Frameworks vorgestellt. Er ist eine komplette Neukonstruktion und macht vieles besser als der Vorgänger. Seit April steht zudem Version…

"XMR Squad": Hacker-Gruppe greift deutsche Websites an

April 23, 2017 - 4:27 am in Security

[ad_1] Ein auf DDoS-Attacken spezialisiertes "Hackerkollektiv" hat in den letzten Tagen die Websites mehrerer deutscher Unternehmen angegriffen, darunter die der DHL, von Hermes und AldiTalk. Seit dem Mittwoch sind immer mal wieder große deutsche Websites…

Serienspaß für alle Linux-Nerds: Netflix blockiert Fedora-Nutzer nicht mehr

April 22, 2017 - 10:45 am in OSS

[ad_1] Auch Debian- und openSuse-Nutzer können nun mit Firefox ohne Umwege Serien und Filme bei Netflix gucken. Nachdem Netflix Unterstützung für Firefox unter Linux verkündet hatte, fiel auf, dass Nutzer von Distributionen wie Fedora, openSuse und Debian…