Enterprise Software Communities sind anders als andere Softwareökosysteme und seit Jahrzehnten gewohnt von Herstellern wie Microsoft, Oracle, SAP & Co automatisch, verlässliche Informationen zu Problemen und Risiken zu erhalten.
Auch bei Mobilen Apps bekommen Anwender i.d.R. automatisch Informationen zu neuen verfügbaren Versionen.
Leider ist dies jedoch bei den meisten Open Source Komponenten (noch?) nicht der Fall!
Hier berichtet und warnt die Fach- und Tagespresse erst über aktuelle Bedrohungen, wenn schon hunderttausende Systeme betroffen und/oder ein großer Schaden entstanden ist. Daher sind im Gegensatz zu den „prominent” dargestellten WannaCry und Petya die meisten wirklich kritischen Bedrohungen nicht auf dem Radar der meisten IT Verantwortlichen.
Beispiele?
- “Spring” ist eines der meist genutzten Java Frameworks. Nur wenige Firmen dürften Java ohne Spring verwenden. Auch basieren über 10.00 Open Source Software Pakete darauf. Version 4.3.4 wurde erst vor 8 Monaten veröffentlicht, aber verwundbar und damit ein großes Einfallstor für Angreifer.
Siehe: https://www.versioneye.com/java/org.springframework:spring-core/4.3.4.RELEASE - Auch “Struts2” ist stark verbreitet – auch im Zusammenspiel mit kommerziellen Applikation wie SAP u.v.a. – und gefährdet:
Siehe: https://www.versioneye.com/java/org.apache.struts:struts2-core/2.5.10 - Wohl kaum eine Java Anwendung die nicht “Apache Common Beanutils” nutzt so z.B. Hier ist quasi jede Version vor 1.9.2 verwundbar!
Siehe: https://www.versioneye.com/java/commons-beanutils:commons-beanutils/1.9.1
Good New: es gibt eine automatische und kostenlose Überwachungslösung!
- www.VersionEye.com ist selbst zu 100% Open Source (unter MIT Lizenz)
- überwacht 24×7 über 1,4 Mio. Open Source Projekte
- in 16 Programmiersprachen (inkl. Java, Java-Script, PHP etc.)
- hat schon +45.000 registrierte Benutzer und
- 500.000 monatliche Besucher
- informiert automatisch und kostenlos über:
- neue Versionen
- mögliche Lizenzprobleme und
- Sicherheitsrisiken
Praxisbericht?
Siehe z.B. Webinar “Best Practices beim Einsatz von Open Source im Enterprise Umfeld”
Siehe z.B. Webinar “Best Practices beim Einsatz von Open Source im Enterprise Umfeld”