Sichere Open-Source-Software

Eine sichere und aktive Open-Source-Community ist nicht nur für Open-Source-Software an sich bedeutsam, sondern kommt auch den Millionen von kritischen Technologien zugute, die von dieser abhängig sind. Die Sicherheit der weltweiten Software ist somit schon längst eine kollektive Gemeinschaftsaufgabe und liegt in unserer aller Verantwortung.

Heutige Softwareentwicklungsprojekte enthalten zu 99 Prozent Open-Source-Software. Entsprechend unseres aktuellen GitHub State of the Octoverse-Reports vom Oktober 2019 weist ein durchschnittliches Softwareprojekt dabei Abhängigkeiten von über 200 weiteren Komponenten auf. Zwar verkürzt die Integration von Open-Source-Abhängigkeiten die Zeit bis zur Markteinführung ungemein, bringt jedoch zugleich auch vererbte Sicherheitsrisiken mit sich. So zeigt sich allein in den letzten fünf Jahren ein Anstieg an Sicherheitslücken im Zusammenhang mit Open Source von 71 Prozent. Das Problem liegt dabei jedoch nicht etwa in der Verwendung von Open-Source-Software oder in Kompromissen innerhalb der Softwarelieferkette. Vielmehr ist es im Bereich ungepatchter Software zu finden.

In dieser Situation ist es vor allem entscheidend - und zwar für Privatpersonen wie auch für Entwickler im Unternehmensumfeld - die veralteten, nicht gepatchten Abhängigkeiten schnellstmöglich zu aktualisieren. Denn das größte Problem dieser veralteten Abhängigkeiten liegt darin, dass diese Sicherheitslücken enthalten können oder eben bereits so alt sind, dass sie gar keine kritischen Patches mehr erhalten. Sollte eine der Abhängigkeiten Schwachstellen aufweisen, dann hat dies direkte Auswirkungen auf den eigenen Code. Der einfachste Weg das Problem zu beheben, liegt dann in einem Update.

Um Open Source für alle sicherer zu machen, ist eine kontinuierliche Zusammenarbeit innerhalb der weltweiten Community gefragt. Es braucht eine Vielzahl von Entwicklern und Sicherheitsforschern, die dank ihres individuellen Backgrounds ihr individuelles Spezialwissen einbringen und gemeinsam den Code durchsuchen, Änderungsvorschläge unterbreiten, Schwachstellen finden, auf diese hinweisen und sie sogleich beheben. So ermöglicht es das Zusammenspiel der gesamten Community, dass innovative Projekte mit sicherem Code entstehen.

Und genau das ist es, was schlussendlich die Power von Open Source ausmacht: Denn nicht selten arbeiten so hunderte (oder gar tausende) Personen aus verschiedensten Regionen, Zeitzonen und kulturellen Backgrounds gemeinsam an einem Projekt. Dadurch spiegeln sie nicht nur den Kern der Innovationskraft von Open Source wieder sondern sorgen gleichzeitig auch dafür, dass der Code insgesamt sicherer wird. Um hierbei die Sicherheit der weltweiten Software zu stärken, müssen wir es Entwicklern, Maintainern, Unternehmen und Forschern ermöglichen, so einfach wie möglich zusammenzuarbeiten. Indem wir diese Schritte so weit wie möglich automatisieren, können wir der Gemeinschaft helfen.