28.06.2022
Snyk
Sicherheitsrisiko Open-Source-Software
Autor: Bernhard Lauer
snyk.io
Eine von Snyk und der Linux Foundation erstellte Studie zeigt Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben.
Snyk, ein Anbieter von Security-Lösungen für Entwickler, und die Linux Foundation, haben die Ergebnisse ihres ersten gemeinsamen Forschungsberichts "The State of Open Source Security", bekannt gegeben. Die Ergebnisse zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben, und auch, dass viele Unternehmen derzeit schlecht darauf vorbereitet sind, diese Risiken effektiv zu bewältigen. Der Bericht stellt insbesondere Folgendes fest:
- Mehr als vier von zehn Unternehmen (41 Prozent) haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software.
- Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten (Open-Source-Code, der von einem Projekt aufgerufen wird).
- Die Zeit, die benötigt wird, um Schwachstellen in Open-Source-Projekten zu beheben, ist stetig gestiegen und hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.
Matt Jarvis, Director, Developer Relations bei Snyk: "Softwareentwickler haben heute ihre eigenen Lieferketten – aber statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme. Gemeinsam mit der Linux Foundation planen wir, diese Erkenntnisse zu nutzen, um weltweit Entwickler zu schulen und auszustatten, damit sie weiterhin schnell, aber sicher, programmieren können."
Snyk und die Linux Foundation wollen die vollständigen Ergebnisse des Berichts sowie empfohlene Maßnahmen zur Verbesserung der Sicherheit bei der Entwicklung von Open-Source-Software in diesen beiden Veranstaltungen diskutieren:
- Webinar am Dienstag, 28. Juni, um 19.00 Uhr MEZ
- Webinar am Mittwoch, 29. Juni, um 15.00 Uhr MEZ
JavaScript Framework
Hono werkelt im Hintergrund
Das JavaScript-Framework Hono ist klein und schnell. Ein weiterer Vorteil ist, dass Hono auf vielen Laufzeitumgebungen zum Einsatz kommen kann.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Container
.NET 8 - Container bauen und veröffentlichen ganz einfach
Dockerfiles erfreuen sich großer Beliebtheit. Unter .NET 8 lassen sich Container für Konsolenanwendungen über den Befehl "dotnet publish" erzeugen.
>>
Data Warehouse
Datenbanken besser aufsetzen mit Data Vault
Christoph Papenfuss vom finnischen Datenspezialisten Agile Data Engine gibt eine Einführung in Data Vault: Eine skalierbare und flexible Lösung für komplexe Datenumgebungen.
>>