Die Zeiten ändern sich und verlangen immer mehr Aufmerksamkeit. Dies trifft speziell im Bereich Open-Source-Software zu. Die Komplexität gerade in der Technologiebranche ist enorm, gerade wenn der Sicherheitsaspekt eine wichtige Rolle spielt. Die Nutzung von Open-Source ist bereits beachtlich und nimmt stetig zu. Im Vergleich zum letzten Jahr ist die Anzahl der Unternehmen, die OSS verwenden enorm gestiegen. In Deutschland setzen 69% der befragten Unternehmen OSS ein und der Trend steigt stetig. Im globalen Vergleich verwenden laut des OSSRA Berichts 2019 (Open Source Sicherheits-und Risikoanalyse) 60% der befragten Unternehmen Open Source im analysierten Code im Jahr 2018; eine 3%ige Steigerung zum Vorjahr.

1. Boris Cipot
Senior Security Engineer
Synopsys
Vorstellung des Open Source Monitor von Bitkom e.V.
Open Source – Segen oder Fluch?

2. © 2020 Synopsys, Inc. 2Synopsys Confidential Information
Wir reden über
• Warum ist SCA wichtig?
• Erkenntnisse aus der Open Source Nutzung (OSSRA Report 2019)
• Erkenntnisse aus der Open Source Verwaltung (Open Source
Monitor von Digitalverband Bitkom)
• Fazit

3. © 2020 Synopsys, Inc. 3Synopsys Confidential Information
Warum ist SCA wichtig?

4. © 2020 Synopsys, Inc. 4Synopsys Confidential Information
Die Zeiten ändern sich…
Moderne Applikationen
=
Proprietärer Code
+
Open-Source-Komponenten
+
API Nutzung
+
Anwendungsverhalten und Konfiguration

5. © 2020 Synopsys, Inc. 5Synopsys Confidential Information
…und verlangen mehr Aufwand!
Erreichen und Aufrechterhalten eines
hohen Maßes an Sicherheit bei der
Softwareentwicklung
Aufwand und Ressourcen für Planung,
Wachsamkeit und
Informationsbeschaffung zur
Risikominimierung
Die heutige Rolle der
Containertechnologien

6. © 2020 Synopsys, Inc. 6Synopsys Confidential Information
Fakt
1. Die Nutzung von Open Source ist bereits
massiv und nimmt stetig zu
2. Open Source Software ist Software und hat
auch Fehler
3. Sicherheit Prozesse, die für Ihren eigenen
Proprietären Code benutzt wurden, sind bei
Open Source Code ineffizient
4. Sie müssen sicherstellen, dass die
Sichtbarkeit und Kontrolle über Open Source
den Anforderungen und Problemen entspricht

7. © 2020 Synopsys, Inc. 7Synopsys Confidential Information
Die meisten Cyberangriffe passieren auf dem Applikator
Layer!

8. © 2020 Synopsys, Inc. 8Synopsys Confidential Information
Was haben die Sicherheitslücken gemeinsam?
OpenSSL
Eingefügt : 2011
Gefunden : 2014
Heartbleed
GNU C Library
Eingefügt : 2000
Gefunden : 2015
Ghost
QEMU
Eingefügt : 2004
Gefunden : 2015
Venom
Bash
Eingefügt : 1989
Gefunden : 2014
Shellshock
OpenSSL
Eingefügt :
1990's
Gefunden : 2015
Freak
FREAK!
Sie wurden alle von Forschern gefunden!

9. © 2020 Synopsys, Inc. 9Synopsys Confidential Information
Auswahl der Werkzeuge
SAST-Tools sind am effektivsten beim
Scannen von Proprietärem Code
Open Source Software-Schwachstellen sind
komplex und tief im Code verankert. Sie werden
daher meist von Forschern oder der Community
gefunden.

10. © 2020 Synopsys, Inc. 10Synopsys Confidential Information
Open-Source-Software wird über viele Kanäle integriert…
…und Open-Source-
Schwachstellen auch.

11. © 2020 Synopsys, Inc. 11Synopsys Confidential Information
Wie werden die Sicherheitsrisiken ausgenutzt?
Schwachstelle
eingeführt
National Vulnerability
Database
Schwachstelle
gefunden
Sie finden die
Schwachstelle
Sie entfernen die
Schwachstelle
Exploit
veröffentlicht
Höchstes Sicherheitsrisiko

12. © 2020 Synopsys, Inc. 12Synopsys Confidential Information
Was ist SCA?
SCA = Software Composition
Analysis
Erkennen von Open Source-
Softwarekomponenten, die in der
Softwareentwicklung verwendet
werden, und Identifikation der
Sicherheit, Lizenzkonformität und
des Betriebsrisikos ihrer
Verwendung.

13. © 2020 Synopsys, Inc. 13Synopsys Confidential Information
Erkenntnisse aus der Open Source Nutzung
OSSRA 2019 Bericht

14. © 2020 Synopsys, Inc. 14Synopsys Confidential Information
Synopsys CyRC – Mission
Den Stand der Softwaresicherheit durch
Forschung, Innovation und Evangelisation
verbessern, um Sicherheits- und
Entwicklungsunternehmen Einblicke und
Anleitungen zu geben, die sich mit der
Identifizierung, dem Schweregrad, der
Ausnutzung, der Minderung und dem
Schutz vor Softwareschwachstellen
befassen.

15. © 2020 Synopsys, Inc. 15Synopsys Confidential Information
Open-Source ermöglicht moderne Anwendungen
Codebasen mit mindestens einer Open-
Source-Komponente

16. © 2020 Synopsys, Inc. 16Synopsys Confidential Information
Open-Source ist eine wichtige Grundlage für Innovation
Durchschnittliche
Nutzung von Open
Source
Codebasen
enthielten Open
Source

17. © 2020 Synopsys, Inc. 17Synopsys Confidential Information
Lizenzrisiko ist noch immer kritisch
Enthaltene
Komponenten mit
Lizenzkonflikten
Enthielt eine Form
von GPL-Konflikt

18. © 2020 Synopsys, Inc. 18Synopsys Confidential Information
Unbestimmte Lizenzen sind besonders herausfordernd
Enthielt benutzerdefinierte Lizenzen, die
möglicherweise zu Konflikten führten
oder eine rechtliche Überprüfung
erforderten
Enthaltene Komponenten,
die "nicht lizenziert" waren

19. © 2020 Synopsys, Inc. 19Synopsys Confidential Information
Bei Open Source geht es um verantwortungsvolle
gemeinsame Weiterverwendung
Enthaltene Komponenten, die
mehr als vier Jahre veraltet waren
oder in den letzten zwei Jahren
keine Entwicklungstätigkeit hatten

20. © 2020 Synopsys, Inc. 20Synopsys Confidential Information
Open Source erfordert einen anderen Sicherheitsansatz
Enthielten
Schwachstellen
Enthielten
Sicherheitslücken, die älter
als 10 Jahre sind

21. © 2020 Synopsys, Inc. 21Synopsys Confidential Information
Die älteste gefunden Schwachstelle
Eine Schwachstelle, die älter als viele Entwickler: CVE-2000-0388
Bericht:
9. Mai 1990
Beschreibung:
Ein Buffer-Overflow bei der Verarbeitung der Umgebungsvariablen TERMCAP in FreeBSD 3.4 und früheren
Versionen kann zu einem lokalen Exploit führen, der zu einer Eskalation von Berechtigungen führt.
Lösung:
Aktualisieren Sie die FreeBSD-Betriebsumgebung auf eine moderne Version

22. © 2020 Synopsys, Inc. 22Synopsys Confidential Information
Verbesserungen sind noch immer da

23. © 2020 Synopsys, Inc. 23Synopsys Confidential Information
3 Regeln zur Verbesserung von OSS Nutzung
Regel Nummer 1
ES IST UNMÖGLICH, SOFTWARE ZU PATCHEN, WENN MAN NICHT WEISS, DASS
MAN SIE BENUTZT
Regel Nummer 2
BEI OPEN SOURCE GEHT ES NICHT NUR UM DIE QUELLE, SONDERN AUCH UM
DIE WIEDERVERWENDUNG
Regel Nummer 3
ES GIBT KEINEN SOFTWARE ANBIETER BEKKANT ALS "OPEN SOURCE"

24. © 2020 Synopsys, Inc. 24Synopsys Confidential Information
Erkenntnisse aus der Open-Source-Verwaltung
Bitkom Open Source Monitor

25. © 2020 Synopsys, Inc. 25Synopsys Confidential Information
Die Studie
• Die Informationen basieren auf einer
repräsentativen Umfrage, die von Bitkom
Research im Auftrag des Digitalverbandes
Bitkom e.V. durchgeführt wurde.
• 804 Unternehmen mit mehr als 100
Mitarbeitern in Deutschland wurden
telefonisch befragt.
• Die Umfrage wurde im Rahmen des
Projekts "Open Source Monitor 2019"
durchgeführt

26. © 2020 Synopsys, Inc. 26Synopsys Confidential Information
Zentrale Erkenntnisse
• Zwei Drittel der größeren Unternehmen setzen bereits bewusst
Open-Source-Software ein
• 9 von 10 größeren Unternehmen realisieren Vorteile durch Open
Source
• 8 von 10 größeren Unternehmen sehen Nachteile in der Nutzung
von Open Source
• Nur 4 Prozent sehen das Thema kritisch oder lehnen den Einsatz
ab

27. © 2020 Synopsys, Inc. 27Synopsys Confidential Information
2/3 der größeren Unternehmen setzen bereits
bewusst Open-Source-Software ein
• Kaum ein Unternehmen hat einen Leiter der Open-Source-Software-
Verwaltung
• Fast die Hälfte der Unternehmen hat keine verantwortliche Person für die
Verwaltung von Open-Source-Software

28. © 2020 Synopsys, Inc. 28Synopsys Confidential Information
9 von 10 größeren Unternehmen realisieren
Vorteile durch Open Source Software
• Die große Mehrheit der befragten ist
interessiert und offen für OSS
• Handel und Automobilgeschäft zeigen die
größte Offenheit gegenüber OSS
• Drei Viertel glauben, dass alle Unternehmen
OSS irgendwie nutzen
• OSS ist für jedes fünfte Unternehmen ein
Wettbewerbsfaktor

29. © 2020 Synopsys, Inc. 29Synopsys Confidential Information
8 von 10 größeren Unternehmen sehen Nachteile
in der Nutzung von Open Source
• Nur jedes fünfte
Unternehmen hat eine OSS-
Strategie
• Sicherheitsbedenken und
mangelndes Know-how
behindern den Einsatz von
OSS

30. © 2020 Synopsys, Inc. 30Synopsys Confidential Information
Einsatz von Open-Source
• Einsatz von auf OSS
basierenden Lösungen ohne
den Quellcode zu verändern
• 1/3 nutzt OSS-Anwendungen
und nimmt Anpassunngen vor
• 1/5 setzt auf OSS als Teil
eigener Produkte oder
Dienstleistungen mit
Anpassungen am Quellcode

31. © 2020 Synopsys, Inc. 31Synopsys Confidential Information
Einsatz von Open-Source

32. © 2020 Synopsys, Inc. 32Synopsys Confidential Information
Probleme von Open-Source

33. © 2020 Synopsys, Inc. 33Synopsys Confidential Information
Fazit

34. © 2020 Synopsys, Inc. 34Synopsys Confidential Information
Nehmen Sie die Herausforderung an
1. Planung, Wachsamkeit und Informationen
2. Identifizierung von nicht vertrauenswürdigem Quellcode
3. Entwickeln Sie Verfahren zur Problembehebung
4. Nennen Sie es wie Sie wollen (SecDevOps, DevSecOps,
DevOpsSec),
5. Sicherheit muss in Ihrer DevOps-Kultur von
entscheidender Bedeutung sein
6. Integrieren Sie die Abläufe in jeden Schritt Ihres
Entwicklungsprozesses

35. © 2020 Synopsys, Inc. 35Synopsys Confidential Information
Schlüsselerkenntnisse

36. Vielen Dank!
Boris Cipot, Senior Security Engineer
E-Mail: bcipot@synopsys.com
LinkedIn: https://www.linkedin.com/in/boris-cipot-58a0a620/
Twitter: @boris_cipot