Experten haben Werkzeuge entwickelt, die Schwachstellen in Open Source Anwendungen erkennen und entfernen können. Foto: Universität Paderborn, Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber
Forschungsprojekt zum Schutz vor Schwachstellen in frei zugänglicher Software bringt 2 Tools hervor
Paderborn, 5. Dezember 2024
Frei zugängliche #Computerprogramme, die Nutzer herunterladen, verändern und verbreiten dürfen – das steckt hinter sogenannten »#Open #Source #Softwares«. Entwickler machen davon unter anderem Gebrauch, um einzelne #Softwaremodule für neue Anwendungen aus einer Datenbank zu beziehen, anstatt sie selbst von Grund auf zu entwickeln. Das Problem: Bei den frei zugänglichen Inhalten treten immer wieder Schwachstellen auf, womit die Gefahr für Schadsoftware steigt. Um dieses Risiko zu minimieren, haben sich Wissenschaftler vom Institut für Informatik und vom Heinz Nixdorf Institut der #Universität #Paderborn für ein Forschungsprojekt mit dem Softwareunternehmen #SAP SE zusammengeschlossen. Die Experten haben unter anderem #Werkzeuge entwickelt, die Schwachstellen auch mit bisher unzureichenden Informationen erkennen und entfernen können. Das auf 3 Jahre angelegte Projekt wurde von der Deutschen Forschungsgemeinschaft (DFG) mit knapp 500.000 Euro gefördert.
Risiko für Schadsoftware verringen
»Open Source Bibliotheken sind sehr weit verbreitet in der modernen Softwareentwicklung. Zwar gibt es dafür gute Gründe, allerdings erhalten durch den öffentlichen Zugang auch potenzielle Angreifer Einblicke in Teile der zugrundeliegenden Codes. So finden sie Schwachstellen, die sie für Cyber Angriffe ausnutzen können«, erläutert Jonas Klauke, Wissenschaftlicher Mitarbeiter der Paderborner Fachgruppe »Secure Software Engineering«. Die gute Nachricht: Diese Schwachstellen werden auch von der Open Source Community gefunden, gemeldet und in einer neuen Version der Bibliothek repariert. Klauke erläutert: »Um die Schwachstellen in den Anwendungen zu schließen, muss die genutzte Bibliothek auf die reparierte Version aktualisiert werden. Dafür müssen die Entwickler informiert werden. Das passiert über Tools, die Bibliotheken mit Schwachstellen erkennen. Das Problem ist, dass diese Tools oft ungenau sind. Deshalb haben wir an einem automatisierten Prozess geforscht, der die Entwickler bei der Behebung von befallenen Bibliotheken unterstützt.« Dadurch sollen die Sicherheitslücken schnell und unkompliziert geschlossen werden.
»UpCy« steht bereits zur freien Verfügung
Erklärtes Projektziel war es, Werkzeuge zu entwickeln, die Schwachstellen in Open Source Anwendungen auch mit unzureichenden Informationen erkennen können. Dabei herausgekommen sind zwei Tools, von denen eines bereits öffentlich zur Verfügung steht. »Das erste ist ein Scanner, der es ermöglicht, Bibliotheken mit Schwachstellen zu erfassen, die in Anwendungen aktiv genutzt werden. Da das Updaten von Bibliotheken einige Veränderungen mit sich bringt, muss das Programm oft an die neue Version angepasst werden. Dieser Aufwand kann reduziert werden, indem das Updaten auf die genutzten Bibliotheken mit Schwachstellen fokussiert wird«, so Klauke. Das zweite entwickelte Tool mit dem Namen »UpCy« hilft Nutzern beim automatischen Aktualisieren der befallenen Bibliotheken, indem es neue Versionen von Bibliotheken findet, deren Updates keine Komplikationen verursachen. Während an dem Scanner noch gearbeitet wird, können Anwender »UpCy« bereits nutzen.
Schwachstellen in Open Source Softwares auch ohne den Quellcode finden
Zwar gibt es bereits Tools, die Schwachstellen in Open Source Softwares erkennen, allerdings nur, wenn die Metadaten oder der sogenannte »Quellcode« vorliegen. »Dieser ist in einer für Menschen lesbaren Programmiersprache geschrieben und wird in einen Maschinencode übersetzt, um die Anwendung auf dem Computer ausführbar zu machen. Der #Quellcode kann allerdings nicht immer präzise der jeweiligen Version der Bibliothek zugewiesen werden. Fehlen nun auch die #Metadaten, werden Bibliotheken mit potentiellen Schwachstellen übersehen«, so Klauke. Mithilfe der entwickelten Prozesskette lassen sich nun auch diese Bibliotheken erkennen, wenn weder Metadaten noch eine direkte Verbindung zum ursprünglichen Quellcode existieren. Mehr …
