The code is open – but who is looking at it?

Wenn wir neue Schwachstellen in jahrzehntealtem Code finden, stellt sich die Frage: Wenn der Code offen und leicht zugänglich war, warum hat ihn dann bis jetzt niemand entdeckt?

Dies ist einer der Trugschlüsse von Open Source – die Annahme, dass Code, nur weil er offen und frei verfügbar ist, von Natur aus sicher ist, weil ihn sicherlich jemand, der sich mit Programmierung auskennt, überprüft hat. Und das hat sich im Laufe der Jahre immer wieder als falsch erwiesen. Schwachstellen wie die, die in einigen der früheren Übertragungen von curl vor über 20 Jahren gefunden wurden, werden auch heute noch aufgedeckt, und das ist nur eine weit verbreitete Auswirkung der zuvor beschriebenen Denkweise.

Die Sache ist die, dass jemand vielleicht wirklich gesucht hat – und dann die Fehler fand und sie für sich behielt. Es gibt ein ganzes Modell der Schattenwirtschaft, das sich um dieses Thema rankt. Schwachstellen werden heute gehortet, Bedrohungsgruppen verfolgen aktiv neu entdeckte, aber noch nicht veröffentlichte Schwachstellen und sind bereit, dafür viel Geld zu zahlen – sogar mehr als die meisten Bug-Bounty-Programme zahlen. Dies macht es besonders schwierig, die Schwachstellen zu beseitigen, da der finanzielle Anreiz sehr präsent ist.

In diesem Vortrag geht es um die Auswirkungen auf den Open-Source-Bereich für Unternehmen, wie Unternehmen Sicherheitsmaßnahmen in ihre Automatisierungspipelines implementieren können, um das Risiko zu mindern, und wie sich die Denkweise ändern sollte – von blindem Vertrauen zu einem „Trust-but-verify“-Ansatz, wenn neuer Open-Source-Code und -Anwendungen bereitgestellt werden – und wie man so schnell wie möglich reagieren kann, um Sicherheit und Systemintegrität zu gewährleisten.