Warum Open-Source-Code zur Gefahrenquelle werden kann
Mehr als die Hälfte der Apps mit Open-Source-Code weisen Sicherheitslücken auf
Bild: Screenshot der Black-Duck-Studie / teltarif.de
Die Open-Source-Spezialisten von Black Duck haben über 1000 kommerzielle Apps untersucht und berichten, dass ganze 96 Prozent der anonymisiert ausgewerteten Anwendungen auf Open-Source-Code aufbauen oder zumindest Teile davon verwenden. Dagegen wäre eigentlich auch nichts zu sagen, denn Open-Source-Code kann, unter Einhaltung bestimmter Lizenzbedingungen, kostenlos verwendet und auch weiterentwickelt werden. Bei der Entwicklung von Anwendungen wird deshalb häufig auf Open-Source gesetzt - Unternehmen sparen so Zeit und Geld.
Mehr als die Hälfte der Apps mit Open-Source-Code weisen Sicherheitslücken auf
Bild: Screenshot der Black-Duck-Studie / teltarif.de
Problematisch wird es aber, wenn dieser Code Sicherheitslücken enthält. Denn wie Black Duck weiter berichtet, finden sich in 67 Prozent der untersuchten Apps mit Open-Source-Code Sicherheitslücken, die im Schnitt bereits seit über vier Jahren bekannt sind. Dem noch nicht genug, sollen die Apps mit den durchschnittlich meisten Sicherheitslücken, aus dem Finanzbereich sowie aus dem Online-Handel stammen. So würden 60 Prozent der Anwendungen aus dem Finanzbereich und 83 Prozent der Apps aus dem Online-Handel über besonders schwerwiegende Sicherheitsmängel verfügen.
Des Weiteren sollen über 85 Prozent der Anwendungen die Open-Source-Lizenzbedingungen nicht oder nicht mehr einhalten. 53 Prozent würden sogar über gar keine Genehmigung verfügen, den Open-Source-Code zu verwenden. Die komplette Studie von Black Duck kann gegen Anmeldung hier heruntergeladen werden.
Open-Source-Lizenzen
Obwohl Open-Source-Code in vielen Fällen kostenfrei verwendet und weiterentwickelt werden darf, gilt dies nicht generell. So ist es beispielsweise auch möglich, dass für die Nutzung von Open-Source-Software oder -Code Gebühren fällig werden. Das hängt ganz von der individuell verwendeten Open-Source-Lizenz ab. Sehr verbreitet ist zum Beispiel die Variante, in der Open-Source-Code zur freien Verwendung freigeben ist, alles was darauf aufbaut im Gegenzug aber auch Open-Source sein muss.
Bei der Vermischung von Open-Source- und kommerziellem Code kann es also schnell zu Lizenzproblemen kommen, weil die Entwickler kommerzieller Software ihr Endprodukt nicht zur allgemeinem Verwendung freigeben möchten. Dies könnte unter anderem auch der Grund sein, weshalb Black Duck von so vielen Lizenzverletzungen berichtet.
Und auch das große Ausmaß an Sicherheitslücken und vor allem vollkommen veralteten Sicherheitslücken lässt sich durch die Verwendung von Open-Source-Code erklären. Nimmt man als Beispiel das Betriebssystem Linux, so gib es dieses in den unterschiedlichsten Ausführungen - kostenlos, denken die meisten. Doch bestimmte Linux-Distributionen gibt es als kostenpflichtiges Betriebssystem. Dabei zahlt man allerdings nicht für die Software selbst, sondern in der Regel für den professionellen Support. Vollkommen kostenfreie Linux-Distributionen werden dagegen meist von einer Entwickler-Community betreut, die oft unentgeltlich und selten hauptberuflich an dem Projekt arbeitet.
Wird also eine Sicherheitslücke in einem kostenfreien Open-Source-Projekt gefunden, so ist die Entwickler-Community für deren Behebung verantwortlich. Anders als bei bekannter kommerzieller Software gibt es dann kein automatisches Update. Wer freie Open-Source-Software oder -Code verwendet, muss sich selbst darum kümmern, dass ein Update eingespielt wird. Und genau darum dürften sich viele Entwickler nicht gekümmert haben, deren Software im Zuge der Black-Duck-Studie untersucht worden ist. So kommt es dann auch vor, dass eine der bekanntesten Sicherheitslücken der letzten Jahre, noch immer in 1,5 Prozent der untersuchten Anwendungen besteht.
Open-Source trifft keine Schuld
Die von Black Duck dargestellte Problematik mit teils eklatanten Sicherheitslücken in Anwendungen, bei denen man sie am wenigsten vermuten würde, klingt erschreckend. Doch trifft den verwendeten Open-Source-Code dabei keine Schuld, die Community schon gar nicht. Vielmehr sieht es so aus, als ob die Entwickler der kommerziellen Apps sich nicht ausreichend um die Aktualisierungen der Open-Source-Komponenten gekümmert haben.
Um welche Apps es sich dabei genau handelt wird bei einer solchen Untersuchung üblicherweise nicht bekannt gegeben. Vorerst werden die Entwickler über die Sicherheitslücken in ihren Anwendungen informiert und bekommen so Zeit diese zu schließen.
Übrigens, auch auf dem Smartphone lässt sich ein Community-basiertes Betriebssystem installieren. Viele Jahre war hier der CyanogenMod erste Wahl, inzwischen heißt das Projekt Lineage OS.