Schwachstellen in Open-Source-Komponenten – wie die weit verbreiteten Fehler, die vor zehn Monaten in Log10j 4 aufgedeckt wurden – haben Datenwissenschaftler gezwungen, den Open-Source-Code, der häufig für Analysen und die Erstellung von Modellen für maschinelles Lernen verwendet wird, neu zu bewerten.
Laut einem Bericht von Anaconda, einem Unternehmen für Datenwissenschaftsplattformen, haben im vergangenen Jahr 40 % der befragten Datenwissenschaftler, Wirtschaftsanalysten und Studenten ihre Nutzung von Open-Source-Komponenten reduziert, während ein Drittel stabil blieb, und nur 7 % haben mehr Open-Source-Code in ihre Projekte integriert. Die Mehrheit der Befragten berichten nicht an die Abteilung für Informationstechnologie (18 %), sondern arbeiten in ihrer eigenen Datenwissenschafts- oder Forschungs- und Entwicklungsgruppe (47 %), so Anacondas „„Stand der Datenwissenschaft 2022“ Bericht, veröffentlicht letzte Woche.
Während Softwareentwickler und IT bereits damit begonnen haben, sicheren Code zu überprüfen, sind die Bedenken hinsichtlich der Sicherheit von Open-Source-Software ein relativ neuer Trend für die Welt der Datenwissenschaft, sagt Peter Wang, Mitbegründer und CEO von Anaconda.
„Wir sehen einen enormen Anteil an Menschen in Organisationen, in denen die IT eine sehr strenge Haltung gegenüber Open Source und Python einnimmt“, sagt er. „Das sind keine erfahrenen Entwickler. … Sie sind Datenwissenschaftler und Maschinenlerner, die möglicherweise überhaupt keine sehr erfahrenen Entwickler sind, die alles verwenden, was sie herunterladen können, um ihre Analyse durchzuführen, und das haben sie dann der IT übergeben.“
Die Sicherheit von Open-Source-Komponenten – und der Software-Lieferkette im Allgemeinen – ist in den letzten zwei Jahren zu einem vorrangigen Anliegen von Softwareentwicklern, Unternehmen und nationalen Regierungen geworden. Im Mai beispielsweise hat das US-amerikanische National Institute of Standards and Technology (NIST) Leitlinien zur Bewältigung von Risiken in der Software-Lieferkette herausgegeben. Darüber hinaus wächst die Zahl der Softwareanbieter sind der Open Software Security Foundation (OpenSSF) der Linux Foundation beigetreten.
Insgesamt hat sich der Reifegrad der Sicherheitsbemühungen von Organisationen verbessert. Etwa die Hälfte der Unternehmen verfügt über eine Open-Source-Sicherheitsrichtlinie, die zu einer besseren Leistung bei der Messung der Sicherheitsbereitschaft führt. laut der Juni-Umfrage. Darüber hinaus sind die Bemühungen zur Kontrolle des Open-Source-Risikos in den letzten 51 Monaten um 12 % gestiegen. heißt es in einer Studie zur Sicherheitsreife am Sept. 21.
„Angesichts der Aufmerksamkeit, die den Software-Lieferketten gewidmet wird, verfolgen die meisten Unternehmensorganisationen einen risikobasierten Ansatz für die Anwendungssicherheit“, sagte Jason Schmitt, General Manager der Synopsys Software Integrity Group, in einer Erklärung zur Ankündigung der Studie. „Ein solcher Ansatz erkennt an, dass Sicherheit nicht auf die Codebasis beschränkt ist; Dazu gehört der Prozess der Softwareentwicklung, bei dem Sicherheitsüberprüfungen und -tests „überall hin verschoben“ werden, um die Sicherheitsergebnisse kontinuierlich zu verbessern.“
Entwickler erweitern die Nutzung von Open Source
Anderen Daten zufolge verzeichnen Softwareunternehmen keinen Rückgang der Open-Source-Nutzung. Stattdessen konzentrieren sich Entwicklungsorganisationen auf die Verbesserung der Sicherheit von Open-Source-Software und nutzen die Sicherheit als primären Leitfaden bei der Auswahl von Komponenten.
In dem "„Stand der Software-Lieferkette 2021“ In einem Bericht stellte Sonatype beispielsweise fest, dass die vier größten Open-Source-Ökosysteme – das Maven Central Repository (Java), Node.js (JavaScript), der Python Package Index (Python) und die NuGet-Galerie (.NET) – 37 Millionen enthielten Open-Source-Projekte und -Komponenten, ein Anstieg von 20 % im Jahresvergleich. Auch die Nachfrage nach diesen Komponenten steigt: Mehr als 2.2 Billionen Komponenten wurden heruntergeladen, ein jährlicher Anstieg von 73 %.
Eine selbstberichtete Abkehr der Datenwissenschaftsgemeinschaft von Open-Source-Paketen deutet wahrscheinlich auf ein größeres Bewusstsein für Sicherheitsprobleme und weniger darauf hin, Open-Source-Komponenten in der Entwicklung über Bord zu werfen, sagt Tracy Miranda, Leiterin Open Source bei Chainguard.
Während Data-Science-Teams und Entwicklungsteams möglicherweise unterschiedlich auf große Sicherheitsprobleme reagiert haben – wie Log4j 2.0 – Unternehmen haben bei der Abkehr von einem Open-Source-Paket kaum eine andere Wahl, als ein anderes Paket einzuführen, dessen Betreuer mehr Wert auf Sicherheit gelegt haben, sagt sie.
„Unternehmen nutzen Open Source, um ihre Geschwindigkeit zu steigern. Wenn sie also reduzieren, worauf reduzieren sie dann? Code intern schreiben? Verwenden Sie verpackte Versionen von Drittanbietern?“ Miranda sagt und fügt stattdessen hinzu: „Ich denke, wir können davon ausgehen, dass Unternehmen anspruchsvoller in Bezug auf die Qualität der von ihnen verwendeten Open Source sein werden, insbesondere im Hinblick auf Sicherheitsfunktionen.“
Datenwissenschaftler müssen aufholen
Die Diskrepanz zwischen den beiden Seiten ist wahrscheinlich auf die unterschiedlichen Zielgruppen in den verschiedenen Umfragen zurückzuführen. Die Umfrage von Anaconda konzentrierte sich auf Datenwissenschaftsexperten, wie aus der Wahl der Programmiersprachen der Befragten hervorgeht: 58 % verwendeten Python und 42 % SQL, während nur 26 % JavaScript verwendeten.
Ein besseres Maß für die Stimmung von Softwareentwicklern ist StackOverflows „2022 EntwicklerumfrageDabei wurde festgestellt, dass zwar 58 % der „Menschen, die das Programmieren lernen“ Python verwenden, aber nur 44 % der professionellen Entwickler in dieser Sprache programmieren. Andererseits verwenden laut der Umfrage von StackOverflow 68 % der professionellen Entwickler JavaScript.
Darüber hinaus arbeiten Datenwissenschaftler zwar in Unternehmen, die überwiegend (87 %) Open-Source-Software zulassen, doch etwa ein Viertel (26 %) hat nur minimale Kontrolle durch die IT-Abteilung über ihre Open-Source-Entscheidungen, heißt es im Anaconda-Bericht. In weiteren 18 % der Unternehmen gibt die IT-Abteilung nur etwa die Hälfte der verfügbaren Open-Source-Komponenten vor.
Die Betreuer der kritischsten Projekte – von denen es Hunderte, wenn nicht Tausende gibt – müssen sichere Abhängigkeiten verwenden, ihren eigenen Code testen und die Vertrauenswürdigkeit der Mitwirkenden überprüfen. Die Betreuer sollten auch eine Sicherheits-Scorecard veröffentlichen – eine von Google ins Leben gerufene Initiative, die jetzt von der Open Source Security Foundation (OpenSSF) verwaltet wird., das einem Projekt anhand von fast 20 verschiedenen Kriterien eine Sicherheitsstufe verleiht.
Obwohl das Bewusstsein wahrscheinlich zunimmt, gibt es keine schnelle Lösung, sagt Miranda.
„Die Realität ist, dass es die sichereren Optionen bisher nicht gab“, sagt sie. „Es ist sinnvoll, unnötige Abhängigkeiten zu reduzieren, um die Angriffsfläche zu verringern, aber es ist schwierig, dies zu tun, wenn der Abhängigkeitsbaum erst einmal groß geworden ist.“
