Tag der IT-Sicherheit

Automatisierte Risikoabschätzung bzgl. der Nutzung unsicherer Open-Source-Komponenten

Abstract

Dependancy Management-Systeme wie Maven, NPM und Pip machen es Entwicklern leicht, Bibliotheken von Drittanbietern in eigene Projekte zu integrieren. Durch die Wiederverwendung von existierenden Funktionalitäten sparen Entwickler Zeit und Kosten. In 9 von 20 Softwaresystemen übersteigt der Anteil des Quellcodes von Drittanbietern soger den Anteil des eigenen Quellcodes im Projekt.

Die Wiederverwendung von Bibliotheken von Drittanbietern birgt allerdings unbeabsichtigte Sicherheitsrisiken für das eigene Projekt. Die eigene Software wird im selben Sicherheitskontext ausgeführt wie die Bibliothek. So gefährden existierende Schwachstellen in einer eingesetzten Bibliothek leicht das gesamte System. Ein (un-)prominentes Beispiel ist der Equifax Datendiebstahl vom September 2017, in dem Kriminelle auf persönlichen Daten wie Geburtsdatum, Kreditkarten- und Sozialversicherungsnummern von über 143 Millionen Amerikanern zugreifen konnten. Ironischerweise war diese Sicherheitslücke bereits seit März 2017 bekannt und in einer neuen Version der Bibliothek geschlossen.

In diesem Vortrag wird gezeigt, wie die statische Programmanalyse Softwareentwicklern helfen kann, Bibliotheken mit Schwachstellen frühzeitig zu identifizieren, um Schwachstellen in eigenen Softwareprojekten zu vermeiden.

Date
Location
SICP - Paderborn
Links