SlideShare ist ein Scribd-Unternehmen logo
1 von 36
Downloaden Sie, um offline zu lesen
Boris Cipot
Senior Security Engineer
Synopsys
Vorstellung des Open Source Monitor von Bitkom e.V.
Open Source – Segen oder Fluch?
© 2020 Synopsys, Inc. 2Synopsys Confidential Information
Wir reden über
• Warum ist SCA wichtig?
• Erkenntnisse aus der Open Source Nutzung (OSSRA Report 2019)
• Erkenntnisse aus der Open Source Verwaltung (Open Source
Monitor von Digitalverband Bitkom)
• Fazit
© 2020 Synopsys, Inc. 3Synopsys Confidential Information
Warum ist SCA wichtig?
© 2020 Synopsys, Inc. 4Synopsys Confidential Information
Die Zeiten ändern sich…
Moderne Applikationen
=
Proprietärer Code
+
Open-Source-Komponenten
+
API Nutzung
+
Anwendungsverhalten und Konfiguration
© 2020 Synopsys, Inc. 5Synopsys Confidential Information
…und verlangen mehr Aufwand!
Erreichen und Aufrechterhalten eines
hohen Maßes an Sicherheit bei der
Softwareentwicklung
Aufwand und Ressourcen für Planung,
Wachsamkeit und
Informationsbeschaffung zur
Risikominimierung
Die heutige Rolle der
Containertechnologien
© 2020 Synopsys, Inc. 6Synopsys Confidential Information
Fakt
1. Die Nutzung von Open Source ist bereits
massiv und nimmt stetig zu
2. Open Source Software ist Software und hat
auch Fehler
3. Sicherheit Prozesse, die für Ihren eigenen
Proprietären Code benutzt wurden, sind bei
Open Source Code ineffizient
4. Sie müssen sicherstellen, dass die
Sichtbarkeit und Kontrolle über Open Source
den Anforderungen und Problemen entspricht
© 2020 Synopsys, Inc. 7Synopsys Confidential Information
Die meisten Cyberangriffe passieren auf dem Applikator
Layer!
© 2020 Synopsys, Inc. 8Synopsys Confidential Information
Was haben die Sicherheitslücken gemeinsam?
OpenSSL
Eingefügt : 2011
Gefunden : 2014
Heartbleed
GNU C Library
Eingefügt : 2000
Gefunden : 2015
Ghost
QEMU
Eingefügt : 2004
Gefunden : 2015
Venom
Bash
Eingefügt : 1989
Gefunden : 2014
Shellshock
OpenSSL
Eingefügt :
1990's
Gefunden : 2015
Freak
FREAK!
Sie wurden alle von Forschern gefunden!
© 2020 Synopsys, Inc. 9Synopsys Confidential Information
Auswahl der Werkzeuge
SAST-Tools sind am effektivsten beim
Scannen von Proprietärem Code
Open Source Software-Schwachstellen sind
komplex und tief im Code verankert. Sie werden
daher meist von Forschern oder der Community
gefunden.
© 2020 Synopsys, Inc. 10Synopsys Confidential Information
Open-Source-Software wird über viele Kanäle integriert…
…und Open-Source-
Schwachstellen auch.
© 2020 Synopsys, Inc. 11Synopsys Confidential Information
Wie werden die Sicherheitsrisiken ausgenutzt?
Schwachstelle
eingeführt
National Vulnerability
Database
Schwachstelle
gefunden
Sie finden die
Schwachstelle
Sie entfernen die
Schwachstelle
Exploit
veröffentlicht
Höchstes Sicherheitsrisiko
© 2020 Synopsys, Inc. 12Synopsys Confidential Information
Was ist SCA?
SCA = Software Composition
Analysis
Erkennen von Open Source-
Softwarekomponenten, die in der
Softwareentwicklung verwendet
werden, und Identifikation der
Sicherheit, Lizenzkonformität und
des Betriebsrisikos ihrer
Verwendung.
© 2020 Synopsys, Inc. 13Synopsys Confidential Information
Erkenntnisse aus der Open Source Nutzung
OSSRA 2019 Bericht
© 2020 Synopsys, Inc. 14Synopsys Confidential Information
Synopsys CyRC – Mission
Den Stand der Softwaresicherheit durch
Forschung, Innovation und Evangelisation
verbessern, um Sicherheits- und
Entwicklungsunternehmen Einblicke und
Anleitungen zu geben, die sich mit der
Identifizierung, dem Schweregrad, der
Ausnutzung, der Minderung und dem
Schutz vor Softwareschwachstellen
befassen.
© 2020 Synopsys, Inc. 15Synopsys Confidential Information
Open-Source ermöglicht moderne Anwendungen
Codebasen mit mindestens einer Open-
Source-Komponente
© 2020 Synopsys, Inc. 16Synopsys Confidential Information
Open-Source ist eine wichtige Grundlage für Innovation
Durchschnittliche
Nutzung von Open
Source
Codebasen
enthielten Open
Source
© 2020 Synopsys, Inc. 17Synopsys Confidential Information
Lizenzrisiko ist noch immer kritisch
Enthaltene
Komponenten mit
Lizenzkonflikten
Enthielt eine Form
von GPL-Konflikt
© 2020 Synopsys, Inc. 18Synopsys Confidential Information
Unbestimmte Lizenzen sind besonders herausfordernd
Enthielt benutzerdefinierte Lizenzen, die
möglicherweise zu Konflikten führten
oder eine rechtliche Überprüfung
erforderten
Enthaltene Komponenten,
die "nicht lizenziert" waren
© 2020 Synopsys, Inc. 19Synopsys Confidential Information
Bei Open Source geht es um verantwortungsvolle
gemeinsame Weiterverwendung
Enthaltene Komponenten, die
mehr als vier Jahre veraltet waren
oder in den letzten zwei Jahren
keine Entwicklungstätigkeit hatten
© 2020 Synopsys, Inc. 20Synopsys Confidential Information
Open Source erfordert einen anderen Sicherheitsansatz
Enthielten
Schwachstellen
Enthielten
Sicherheitslücken, die älter
als 10 Jahre sind
© 2020 Synopsys, Inc. 21Synopsys Confidential Information
Die älteste gefunden Schwachstelle
Eine Schwachstelle, die älter als viele Entwickler: CVE-2000-0388
Bericht:
9. Mai 1990
Beschreibung:
Ein Buffer-Overflow bei der Verarbeitung der Umgebungsvariablen TERMCAP in FreeBSD 3.4 und früheren
Versionen kann zu einem lokalen Exploit führen, der zu einer Eskalation von Berechtigungen führt.
Lösung:
Aktualisieren Sie die FreeBSD-Betriebsumgebung auf eine moderne Version
© 2020 Synopsys, Inc. 22Synopsys Confidential Information
Verbesserungen sind noch immer da
© 2020 Synopsys, Inc. 23Synopsys Confidential Information
3 Regeln zur Verbesserung von OSS Nutzung
Regel Nummer 1
ES IST UNMÖGLICH, SOFTWARE ZU PATCHEN, WENN MAN NICHT WEISS, DASS
MAN SIE BENUTZT
Regel Nummer 2
BEI OPEN SOURCE GEHT ES NICHT NUR UM DIE QUELLE, SONDERN AUCH UM
DIE WIEDERVERWENDUNG
Regel Nummer 3
ES GIBT KEINEN SOFTWARE ANBIETER BEKKANT ALS "OPEN SOURCE"
© 2020 Synopsys, Inc. 24Synopsys Confidential Information
Erkenntnisse aus der Open-Source-Verwaltung
Bitkom Open Source Monitor
© 2020 Synopsys, Inc. 25Synopsys Confidential Information
Die Studie
• Die Informationen basieren auf einer
repräsentativen Umfrage, die von Bitkom
Research im Auftrag des Digitalverbandes
Bitkom e.V. durchgeführt wurde.
• 804 Unternehmen mit mehr als 100
Mitarbeitern in Deutschland wurden
telefonisch befragt.
• Die Umfrage wurde im Rahmen des
Projekts "Open Source Monitor 2019"
durchgeführt
© 2020 Synopsys, Inc. 26Synopsys Confidential Information
Zentrale Erkenntnisse
• Zwei Drittel der größeren Unternehmen setzen bereits bewusst
Open-Source-Software ein
• 9 von 10 größeren Unternehmen realisieren Vorteile durch Open
Source
• 8 von 10 größeren Unternehmen sehen Nachteile in der Nutzung
von Open Source
• Nur 4 Prozent sehen das Thema kritisch oder lehnen den Einsatz
ab
© 2020 Synopsys, Inc. 27Synopsys Confidential Information
2/3 der größeren Unternehmen setzen bereits
bewusst Open-Source-Software ein
• Kaum ein Unternehmen hat einen Leiter der Open-Source-Software-
Verwaltung
• Fast die Hälfte der Unternehmen hat keine verantwortliche Person für die
Verwaltung von Open-Source-Software
© 2020 Synopsys, Inc. 28Synopsys Confidential Information
9 von 10 größeren Unternehmen realisieren
Vorteile durch Open Source Software
• Die große Mehrheit der befragten ist
interessiert und offen für OSS
• Handel und Automobilgeschäft zeigen die
größte Offenheit gegenüber OSS
• Drei Viertel glauben, dass alle Unternehmen
OSS irgendwie nutzen
• OSS ist für jedes fünfte Unternehmen ein
Wettbewerbsfaktor
© 2020 Synopsys, Inc. 29Synopsys Confidential Information
8 von 10 größeren Unternehmen sehen Nachteile
in der Nutzung von Open Source
• Nur jedes fünfte
Unternehmen hat eine OSS-
Strategie
• Sicherheitsbedenken und
mangelndes Know-how
behindern den Einsatz von
OSS
© 2020 Synopsys, Inc. 30Synopsys Confidential Information
Einsatz von Open-Source
• Einsatz von auf OSS
basierenden Lösungen ohne
den Quellcode zu verändern
• 1/3 nutzt OSS-Anwendungen
und nimmt Anpassunngen vor
• 1/5 setzt auf OSS als Teil
eigener Produkte oder
Dienstleistungen mit
Anpassungen am Quellcode
© 2020 Synopsys, Inc. 31Synopsys Confidential Information
Einsatz von Open-Source
© 2020 Synopsys, Inc. 32Synopsys Confidential Information
Probleme von Open-Source
© 2020 Synopsys, Inc. 33Synopsys Confidential Information
Fazit
© 2020 Synopsys, Inc. 34Synopsys Confidential Information
Nehmen Sie die Herausforderung an
1. Planung, Wachsamkeit und Informationen
2. Identifizierung von nicht vertrauenswürdigem Quellcode
3. Entwickeln Sie Verfahren zur Problembehebung
4. Nennen Sie es wie Sie wollen (SecDevOps, DevSecOps,
DevOpsSec),
5. Sicherheit muss in Ihrer DevOps-Kultur von
entscheidender Bedeutung sein
6. Integrieren Sie die Abläufe in jeden Schritt Ihres
Entwicklungsprozesses
© 2020 Synopsys, Inc. 35Synopsys Confidential Information
Schlüsselerkenntnisse
Vielen Dank!
Boris Cipot, Senior Security Engineer
E-Mail: bcipot@synopsys.com
LinkedIn: https://www.linkedin.com/in/boris-cipot-58a0a620/
Twitter: @boris_cipot

Weitere ähnliche Inhalte

Ähnlich wie Webinar–Segen oder Fluch?

Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...
Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...
Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...metas GmbH
 
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance Splunk
 
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...Matthias Stürmer
 
Li So G Osci
Li So G OsciLi So G Osci
Li So G OsciCloudcamp
 
Open Source im Unternehmenseinsatz
Open Source im UnternehmenseinsatzOpen Source im Unternehmenseinsatz
Open Source im Unternehmenseinsatzinovex GmbH
 
Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?Matthias Stürmer
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
Plone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesPlone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesAlexander Loechel
 
Lessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source SoftwareLessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source SoftwareMatthias Stürmer
 
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform SEEBURGER
 
Standardisierung, Herstellerabhängigkeiten und Open Source Software
Standardisierung, Herstellerabhängigkeiten und Open Source SoftwareStandardisierung, Herstellerabhängigkeiten und Open Source Software
Standardisierung, Herstellerabhängigkeiten und Open Source SoftwareMatthias Stürmer
 
Die wichtigsten Technologien für die Entwicklung von Webanwendungen
Die wichtigsten Technologien für die Entwicklung von WebanwendungenDie wichtigsten Technologien für die Entwicklung von Webanwendungen
Die wichtigsten Technologien für die Entwicklung von WebanwendungenYUHIRO
 
Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen
Die Bedeutung von APIs und deren Management bei DigitalisierungsinitiativenDie Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen
Die Bedeutung von APIs und deren Management bei DigitalisierungsinitiativenSEEBURGER
 
3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des Remotezugriffs3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des RemotezugriffsAkamai Technologies
 
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...Matthias Stürmer
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-firstRalph Belfiore
 
Splunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit InformationenSplunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit InformationenGeorg Knon
 

Ähnlich wie Webinar–Segen oder Fluch? (20)

Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...
Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...
Geheimnis Open Source Software (2 von 4) - Motivation, das eigene Unternehmen...
 
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
SplunkLive! Frankfurt 2019: Splunk at Generali Insurance
 
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
IT-Kosten sparen mittels Open Source Software: Leeres Versprechen oder realis...
 
Li So G Osci
Li So G OsciLi So G Osci
Li So G Osci
 
Open Source im Unternehmenseinsatz
Open Source im UnternehmenseinsatzOpen Source im Unternehmenseinsatz
Open Source im Unternehmenseinsatz
 
Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)Karl Steiner (COMPRISE GmbH)
Karl Steiner (COMPRISE GmbH)
 
Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?Open Source Software: Reif für den typischen CH KMU?
Open Source Software: Reif für den typischen CH KMU?
 
Microprofile.io
Microprofile.io Microprofile.io
Microprofile.io
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
 
Plone im Kontext des WCMS Marktes
Plone im Kontext des WCMS MarktesPlone im Kontext des WCMS Marktes
Plone im Kontext des WCMS Marktes
 
Lessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source SoftwareLessons Learnt bei der Beschaffung von Open Source Software
Lessons Learnt bei der Beschaffung von Open Source Software
 
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
Welchen Innovationsbeitrag leistet eine moderne Integrationsplattform
 
Standardisierung, Herstellerabhängigkeiten und Open Source Software
Standardisierung, Herstellerabhängigkeiten und Open Source SoftwareStandardisierung, Herstellerabhängigkeiten und Open Source Software
Standardisierung, Herstellerabhängigkeiten und Open Source Software
 
Die wichtigsten Technologien für die Entwicklung von Webanwendungen
Die wichtigsten Technologien für die Entwicklung von WebanwendungenDie wichtigsten Technologien für die Entwicklung von Webanwendungen
Die wichtigsten Technologien für die Entwicklung von Webanwendungen
 
Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen
Die Bedeutung von APIs und deren Management bei DigitalisierungsinitiativenDie Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen
Die Bedeutung von APIs und deren Management bei Digitalisierungsinitiativen
 
3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des Remotezugriffs3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des Remotezugriffs
 
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...
Fachgruppe Immaterialgüterrecht des Bernischen Anwaltsverbandes: Open Source ...
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
It strategie-security-first
It strategie-security-firstIt strategie-security-first
It strategie-security-first
 
Splunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit InformationenSplunk Webinar: Maschinendaten anreichern mit Informationen
Splunk Webinar: Maschinendaten anreichern mit Informationen
 

Mehr von Synopsys Software Integrity Group

Webinar–Mobile Application Hardening Protecting Business Critical Apps
Webinar–Mobile Application Hardening Protecting Business Critical AppsWebinar–Mobile Application Hardening Protecting Business Critical Apps
Webinar–Mobile Application Hardening Protecting Business Critical AppsSynopsys Software Integrity Group
 
Webinar–You've Got Your Open Source Audit Report–Now What?
Webinar–You've Got Your Open Source Audit Report–Now What? Webinar–You've Got Your Open Source Audit Report–Now What?
Webinar–You've Got Your Open Source Audit Report–Now What? Synopsys Software Integrity Group
 
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...Synopsys Software Integrity Group
 
Webinar–Financial Services Study Shows Why Investing in AppSec Matters
Webinar–Financial Services Study Shows Why Investing in AppSec MattersWebinar–Financial Services Study Shows Why Investing in AppSec Matters
Webinar–Financial Services Study Shows Why Investing in AppSec MattersSynopsys Software Integrity Group
 
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...Synopsys Software Integrity Group
 
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?Webinar–Is Your Software Security Supply Chain a Security Blind Spot?
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?Synopsys Software Integrity Group
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileSynopsys Software Integrity Group
 
Webinar–Creating a Modern AppSec Toolchain to Quantify Service Risks
Webinar–Creating a Modern AppSec Toolchain to Quantify Service RisksWebinar–Creating a Modern AppSec Toolchain to Quantify Service Risks
Webinar–Creating a Modern AppSec Toolchain to Quantify Service RisksSynopsys Software Integrity Group
 
Webinar – Streamling Your Tech Due Diligence Process for Software Assets
Webinar – Streamling Your Tech Due Diligence Process for Software AssetsWebinar – Streamling Your Tech Due Diligence Process for Software Assets
Webinar – Streamling Your Tech Due Diligence Process for Software AssetsSynopsys Software Integrity Group
 

Mehr von Synopsys Software Integrity Group (20)

Webinar–Mobile Application Hardening Protecting Business Critical Apps
Webinar–Mobile Application Hardening Protecting Business Critical AppsWebinar–Mobile Application Hardening Protecting Business Critical Apps
Webinar–Mobile Application Hardening Protecting Business Critical Apps
 
Webinar–The 2019 Open Source Year in Review
Webinar–The 2019 Open Source Year in ReviewWebinar–The 2019 Open Source Year in Review
Webinar–The 2019 Open Source Year in Review
 
Webinar–Best Practices for DevSecOps at Scale
Webinar–Best Practices for DevSecOps at ScaleWebinar–Best Practices for DevSecOps at Scale
Webinar–Best Practices for DevSecOps at Scale
 
Webinar–That is Not How This Works
Webinar–That is Not How This WorksWebinar–That is Not How This Works
Webinar–That is Not How This Works
 
Webinar–You've Got Your Open Source Audit Report–Now What?
Webinar–You've Got Your Open Source Audit Report–Now What? Webinar–You've Got Your Open Source Audit Report–Now What?
Webinar–You've Got Your Open Source Audit Report–Now What?
 
Webinar–OWASP Top 10 for JavaScript for Developers
Webinar–OWASP Top 10 for JavaScript for DevelopersWebinar–OWASP Top 10 for JavaScript for Developers
Webinar–OWASP Top 10 for JavaScript for Developers
 
Webinar–The State of Open Source in M&A Transactions
Webinar–The State of Open Source in M&A Transactions Webinar–The State of Open Source in M&A Transactions
Webinar–The State of Open Source in M&A Transactions
 
Webinar–5 ways to risk rank your vulnerabilities
Webinar–5 ways to risk rank your vulnerabilitiesWebinar–5 ways to risk rank your vulnerabilities
Webinar–5 ways to risk rank your vulnerabilities
 
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...
Do Design Quality and Code Quality Matter in Merger and Acquisition Tech Due ...
 
Webinar–Using Evidence-Based Security
Webinar–Using Evidence-Based Security Webinar–Using Evidence-Based Security
Webinar–Using Evidence-Based Security
 
Webinar–Delivering a Next Generation Vulnerability Feed
Webinar–Delivering a Next Generation Vulnerability FeedWebinar–Delivering a Next Generation Vulnerability Feed
Webinar–Delivering a Next Generation Vulnerability Feed
 
Webinar–Financial Services Study Shows Why Investing in AppSec Matters
Webinar–Financial Services Study Shows Why Investing in AppSec MattersWebinar–Financial Services Study Shows Why Investing in AppSec Matters
Webinar–Financial Services Study Shows Why Investing in AppSec Matters
 
Webinar–What You Need To Know About Open Source Licensing
Webinar–What You Need To Know About Open Source LicensingWebinar–What You Need To Know About Open Source Licensing
Webinar–What You Need To Know About Open Source Licensing
 
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...
Webinar–Improving Fuzz Testing of Infotainment Systems and Telematics Units U...
 
Webinar–Why All Open Source Scans Aren't Created Equal
Webinar–Why All Open Source Scans Aren't Created EqualWebinar–Why All Open Source Scans Aren't Created Equal
Webinar–Why All Open Source Scans Aren't Created Equal
 
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?Webinar–Is Your Software Security Supply Chain a Security Blind Spot?
Webinar–Is Your Software Security Supply Chain a Security Blind Spot?
 
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde AgileWebinar–Sécurité Applicative et DevSecOps dans un monde Agile
Webinar–Sécurité Applicative et DevSecOps dans un monde Agile
 
Webinar–Creating a Modern AppSec Toolchain to Quantify Service Risks
Webinar–Creating a Modern AppSec Toolchain to Quantify Service RisksWebinar–Creating a Modern AppSec Toolchain to Quantify Service Risks
Webinar–Creating a Modern AppSec Toolchain to Quantify Service Risks
 
Webinar – Streamling Your Tech Due Diligence Process for Software Assets
Webinar – Streamling Your Tech Due Diligence Process for Software AssetsWebinar – Streamling Your Tech Due Diligence Process for Software Assets
Webinar – Streamling Your Tech Due Diligence Process for Software Assets
 
Webinar – Security Tool Misconfiguration and Abuse
Webinar – Security Tool Misconfiguration and AbuseWebinar – Security Tool Misconfiguration and Abuse
Webinar – Security Tool Misconfiguration and Abuse
 

Webinar–Segen oder Fluch?

  • 1. Boris Cipot Senior Security Engineer Synopsys Vorstellung des Open Source Monitor von Bitkom e.V. Open Source – Segen oder Fluch?
  • 2. © 2020 Synopsys, Inc. 2Synopsys Confidential Information Wir reden über • Warum ist SCA wichtig? • Erkenntnisse aus der Open Source Nutzung (OSSRA Report 2019) • Erkenntnisse aus der Open Source Verwaltung (Open Source Monitor von Digitalverband Bitkom) • Fazit
  • 3. © 2020 Synopsys, Inc. 3Synopsys Confidential Information Warum ist SCA wichtig?
  • 4. © 2020 Synopsys, Inc. 4Synopsys Confidential Information Die Zeiten ändern sich… Moderne Applikationen = Proprietärer Code + Open-Source-Komponenten + API Nutzung + Anwendungsverhalten und Konfiguration
  • 5. © 2020 Synopsys, Inc. 5Synopsys Confidential Information …und verlangen mehr Aufwand! Erreichen und Aufrechterhalten eines hohen Maßes an Sicherheit bei der Softwareentwicklung Aufwand und Ressourcen für Planung, Wachsamkeit und Informationsbeschaffung zur Risikominimierung Die heutige Rolle der Containertechnologien
  • 6. © 2020 Synopsys, Inc. 6Synopsys Confidential Information Fakt 1. Die Nutzung von Open Source ist bereits massiv und nimmt stetig zu 2. Open Source Software ist Software und hat auch Fehler 3. Sicherheit Prozesse, die für Ihren eigenen Proprietären Code benutzt wurden, sind bei Open Source Code ineffizient 4. Sie müssen sicherstellen, dass die Sichtbarkeit und Kontrolle über Open Source den Anforderungen und Problemen entspricht
  • 7. © 2020 Synopsys, Inc. 7Synopsys Confidential Information Die meisten Cyberangriffe passieren auf dem Applikator Layer!
  • 8. © 2020 Synopsys, Inc. 8Synopsys Confidential Information Was haben die Sicherheitslücken gemeinsam? OpenSSL Eingefügt : 2011 Gefunden : 2014 Heartbleed GNU C Library Eingefügt : 2000 Gefunden : 2015 Ghost QEMU Eingefügt : 2004 Gefunden : 2015 Venom Bash Eingefügt : 1989 Gefunden : 2014 Shellshock OpenSSL Eingefügt : 1990's Gefunden : 2015 Freak FREAK! Sie wurden alle von Forschern gefunden!
  • 9. © 2020 Synopsys, Inc. 9Synopsys Confidential Information Auswahl der Werkzeuge SAST-Tools sind am effektivsten beim Scannen von Proprietärem Code Open Source Software-Schwachstellen sind komplex und tief im Code verankert. Sie werden daher meist von Forschern oder der Community gefunden.
  • 10. © 2020 Synopsys, Inc. 10Synopsys Confidential Information Open-Source-Software wird über viele Kanäle integriert… …und Open-Source- Schwachstellen auch.
  • 11. © 2020 Synopsys, Inc. 11Synopsys Confidential Information Wie werden die Sicherheitsrisiken ausgenutzt? Schwachstelle eingeführt National Vulnerability Database Schwachstelle gefunden Sie finden die Schwachstelle Sie entfernen die Schwachstelle Exploit veröffentlicht Höchstes Sicherheitsrisiko
  • 12. © 2020 Synopsys, Inc. 12Synopsys Confidential Information Was ist SCA? SCA = Software Composition Analysis Erkennen von Open Source- Softwarekomponenten, die in der Softwareentwicklung verwendet werden, und Identifikation der Sicherheit, Lizenzkonformität und des Betriebsrisikos ihrer Verwendung.
  • 13. © 2020 Synopsys, Inc. 13Synopsys Confidential Information Erkenntnisse aus der Open Source Nutzung OSSRA 2019 Bericht
  • 14. © 2020 Synopsys, Inc. 14Synopsys Confidential Information Synopsys CyRC – Mission Den Stand der Softwaresicherheit durch Forschung, Innovation und Evangelisation verbessern, um Sicherheits- und Entwicklungsunternehmen Einblicke und Anleitungen zu geben, die sich mit der Identifizierung, dem Schweregrad, der Ausnutzung, der Minderung und dem Schutz vor Softwareschwachstellen befassen.
  • 15. © 2020 Synopsys, Inc. 15Synopsys Confidential Information Open-Source ermöglicht moderne Anwendungen Codebasen mit mindestens einer Open- Source-Komponente
  • 16. © 2020 Synopsys, Inc. 16Synopsys Confidential Information Open-Source ist eine wichtige Grundlage für Innovation Durchschnittliche Nutzung von Open Source Codebasen enthielten Open Source
  • 17. © 2020 Synopsys, Inc. 17Synopsys Confidential Information Lizenzrisiko ist noch immer kritisch Enthaltene Komponenten mit Lizenzkonflikten Enthielt eine Form von GPL-Konflikt
  • 18. © 2020 Synopsys, Inc. 18Synopsys Confidential Information Unbestimmte Lizenzen sind besonders herausfordernd Enthielt benutzerdefinierte Lizenzen, die möglicherweise zu Konflikten führten oder eine rechtliche Überprüfung erforderten Enthaltene Komponenten, die "nicht lizenziert" waren
  • 19. © 2020 Synopsys, Inc. 19Synopsys Confidential Information Bei Open Source geht es um verantwortungsvolle gemeinsame Weiterverwendung Enthaltene Komponenten, die mehr als vier Jahre veraltet waren oder in den letzten zwei Jahren keine Entwicklungstätigkeit hatten
  • 20. © 2020 Synopsys, Inc. 20Synopsys Confidential Information Open Source erfordert einen anderen Sicherheitsansatz Enthielten Schwachstellen Enthielten Sicherheitslücken, die älter als 10 Jahre sind
  • 21. © 2020 Synopsys, Inc. 21Synopsys Confidential Information Die älteste gefunden Schwachstelle Eine Schwachstelle, die älter als viele Entwickler: CVE-2000-0388 Bericht: 9. Mai 1990 Beschreibung: Ein Buffer-Overflow bei der Verarbeitung der Umgebungsvariablen TERMCAP in FreeBSD 3.4 und früheren Versionen kann zu einem lokalen Exploit führen, der zu einer Eskalation von Berechtigungen führt. Lösung: Aktualisieren Sie die FreeBSD-Betriebsumgebung auf eine moderne Version
  • 22. © 2020 Synopsys, Inc. 22Synopsys Confidential Information Verbesserungen sind noch immer da
  • 23. © 2020 Synopsys, Inc. 23Synopsys Confidential Information 3 Regeln zur Verbesserung von OSS Nutzung Regel Nummer 1 ES IST UNMÖGLICH, SOFTWARE ZU PATCHEN, WENN MAN NICHT WEISS, DASS MAN SIE BENUTZT Regel Nummer 2 BEI OPEN SOURCE GEHT ES NICHT NUR UM DIE QUELLE, SONDERN AUCH UM DIE WIEDERVERWENDUNG Regel Nummer 3 ES GIBT KEINEN SOFTWARE ANBIETER BEKKANT ALS "OPEN SOURCE"
  • 24. © 2020 Synopsys, Inc. 24Synopsys Confidential Information Erkenntnisse aus der Open-Source-Verwaltung Bitkom Open Source Monitor
  • 25. © 2020 Synopsys, Inc. 25Synopsys Confidential Information Die Studie • Die Informationen basieren auf einer repräsentativen Umfrage, die von Bitkom Research im Auftrag des Digitalverbandes Bitkom e.V. durchgeführt wurde. • 804 Unternehmen mit mehr als 100 Mitarbeitern in Deutschland wurden telefonisch befragt. • Die Umfrage wurde im Rahmen des Projekts "Open Source Monitor 2019" durchgeführt
  • 26. © 2020 Synopsys, Inc. 26Synopsys Confidential Information Zentrale Erkenntnisse • Zwei Drittel der größeren Unternehmen setzen bereits bewusst Open-Source-Software ein • 9 von 10 größeren Unternehmen realisieren Vorteile durch Open Source • 8 von 10 größeren Unternehmen sehen Nachteile in der Nutzung von Open Source • Nur 4 Prozent sehen das Thema kritisch oder lehnen den Einsatz ab
  • 27. © 2020 Synopsys, Inc. 27Synopsys Confidential Information 2/3 der größeren Unternehmen setzen bereits bewusst Open-Source-Software ein • Kaum ein Unternehmen hat einen Leiter der Open-Source-Software- Verwaltung • Fast die Hälfte der Unternehmen hat keine verantwortliche Person für die Verwaltung von Open-Source-Software
  • 28. © 2020 Synopsys, Inc. 28Synopsys Confidential Information 9 von 10 größeren Unternehmen realisieren Vorteile durch Open Source Software • Die große Mehrheit der befragten ist interessiert und offen für OSS • Handel und Automobilgeschäft zeigen die größte Offenheit gegenüber OSS • Drei Viertel glauben, dass alle Unternehmen OSS irgendwie nutzen • OSS ist für jedes fünfte Unternehmen ein Wettbewerbsfaktor
  • 29. © 2020 Synopsys, Inc. 29Synopsys Confidential Information 8 von 10 größeren Unternehmen sehen Nachteile in der Nutzung von Open Source • Nur jedes fünfte Unternehmen hat eine OSS- Strategie • Sicherheitsbedenken und mangelndes Know-how behindern den Einsatz von OSS
  • 30. © 2020 Synopsys, Inc. 30Synopsys Confidential Information Einsatz von Open-Source • Einsatz von auf OSS basierenden Lösungen ohne den Quellcode zu verändern • 1/3 nutzt OSS-Anwendungen und nimmt Anpassunngen vor • 1/5 setzt auf OSS als Teil eigener Produkte oder Dienstleistungen mit Anpassungen am Quellcode
  • 31. © 2020 Synopsys, Inc. 31Synopsys Confidential Information Einsatz von Open-Source
  • 32. © 2020 Synopsys, Inc. 32Synopsys Confidential Information Probleme von Open-Source
  • 33. © 2020 Synopsys, Inc. 33Synopsys Confidential Information Fazit
  • 34. © 2020 Synopsys, Inc. 34Synopsys Confidential Information Nehmen Sie die Herausforderung an 1. Planung, Wachsamkeit und Informationen 2. Identifizierung von nicht vertrauenswürdigem Quellcode 3. Entwickeln Sie Verfahren zur Problembehebung 4. Nennen Sie es wie Sie wollen (SecDevOps, DevSecOps, DevOpsSec), 5. Sicherheit muss in Ihrer DevOps-Kultur von entscheidender Bedeutung sein 6. Integrieren Sie die Abläufe in jeden Schritt Ihres Entwicklungsprozesses
  • 35. © 2020 Synopsys, Inc. 35Synopsys Confidential Information Schlüsselerkenntnisse
  • 36. Vielen Dank! Boris Cipot, Senior Security Engineer E-Mail: bcipot@synopsys.com LinkedIn: https://www.linkedin.com/in/boris-cipot-58a0a620/ Twitter: @boris_cipot