31 August 2015

Sicherheit für Ihre Open Source Infrastruktur

Kategorien: Aktuelles
Tags: Open Source Sicherheit

Ein Gastbeitrag von Thimo Hüller / Black Duck Software

Der umfangreiche Einsatz von Open Source Software erfordert nicht nur ein umfassendes Konzept für Inventarisierung, Softwaremanagement, Pflege und Softwareverteilung, sondern auch eine effiziente Absicherung gegen weitere Risiken, die leider nur allzu oft vernachlässigt werden.

Im Rahmen unserer engen Zusammenarbeit mit Black Duck Software haben wir bereits vielen Kunden dabei geholfen die Herausforderungen, die durch den Einsatz von Open Source Software entstanden sind zu meistern.

Die Versprechungen von Open Source, wie eine schnellere Entwicklungsgeschwindigkeit, verkürzte Time-to-market durch eine höhere Entwicklerproduktivität und damit geringere Kosten, sind vielfach eingetreten, belegt durch den ständig steigenden Verbreitungsgrad von Open Source. Darüber hinaus hat Open Source im Umfeld der mobilen Anwendungen mit Android, oder auch im Bereich der analytischen Lösungen mit Big Data, völlig neue Märkte und Geschäftsmodelle ermöglicht.

Aber wie immer im Leben hat eine Sache aber nicht nur Vorteile, sondern stellt Unternehmen vor Herausforderungen, die wenn sie nicht gelöst werden, zu Nachteilen werden oder sogar Gefahren in sich bergen.

Zu den mögliche Gefahrenquellen gehören auch folgende Risiken:

1. Lizenz Risiko
Für Entwickler ist es leicht, Open Source kostenlos aus dem Internet herunterzuladen. Damit greifen bisherige formale Beschaffungsprozesse für Dritt-Software nicht mehr. Dabei werden oft die Lizenzverpflichtungen übersehen, derer es viele gibt und die bei falscher Verwendung erhebliche rechtliche Risiken für das Unternehmen beinhalten.

2. Operationelle Risiken
Die Suche und Beurteilung von geeignetem Code für das nächstes Projekt kann beschwerlich sein. So sollte man sich z.B. fragen, ob die gewünschte Komponente von einer aktiven Community gepflegt und weiterentwickelt wird. Wichtig ist auch, das im späteren Betrieb Klarheit daüber zu haben, um wie viele Versionen die in der Anwendung verbauten Komponenten hinter den aktuellsten Versionen zurück liegen.

3. Risiken durch bekannte Sicherheitslücken
Gerade Open Source Komponenten gelten als besonders sicher und das beweisen auch die jährlich über 4.000 erkannten Security Vulnerabilities, die in den einschlägigen Datenbanken publiziert werden und im Regelfall von der Community in einer neuen Version behoben werden.

Besonders in den Fokus gerückt ist durch Heartbleed und Shellshock das Risiko durch Sicherheitslücken. Um hier schnell und mit möglichst wenig Aufwand reagieren zu können, wird eine jederzeit aktuelle Stückliste benötigt, die Auskunft darüber gibt, wo und in welcher Version eine Open Soure Komponente verwendet wird. Da neue Security Vulnerabilities jederzeit entdeckt werden können, ist ein kontinuierliches Monitoring aller Komponenten notwendig.

Wie schützt sich Ihr Unternehmen vor diesen Risiken?

Gemeinsam mit Black Duck Software können wir auch Ihrem Unternehmen dabei helfen sich gegen diese Risiken abzusichern.

Für Fragen zu diesem Thema stehen ihnen Thimo Hüller (Blackduck Software) und Michael Amstadt (credativ GmbH) jederzeit gern zur Verfügung.

Kategorien: Aktuelles
Tags: Open Source Sicherheit


Beitrag teilen: