Interview mit Yossi Weinberg, Softwareentwickler bei WhiteSource

„Anwender sollten verantwortungsvoller bei der Nutzung von Open-Source-Software sein“
Keine Kommentare

Open Source bietet viele Vorteile, das kann niemand bestreiten. Zudem ist Open Source in einer einmaligen Position, wenn es um die Begegnung der heutigen Probeleme in Sachen Sicherheit geht. Wir sprachen mit Yossi Weinberg, Softwareentwickler bei WhiteSource, wie WhiteSorce die Projekte seiner Anwender absichert, warum Open-Source-Management absolut essentiell ist und schließlich auch darüber, wie sich der Kauf von GutHub durch Microsoft auf die Community auswirken wird.

Entwickler: Hi Yossi und danke nochmal, dass du dir Zeit für unsere Fragen nimmst. WhiteSource wurde dafür entwickelt, die Projekte seiner Benutzer abzusichern, insbesondere dann, wenn Open-Source-Software verwendet wird. Wie genau läuft dieser Prozess ab? Wie sorgt ihr dafür, dass die Projekte eurer Benutzer sicher sind?

Yossi Weinberg: WhiteSource wurde eigentlich dafür entwickelt, um Softwareunternehmen eine sichere Nutzung von Open-Source-Technologien zu ermöglichen, deren Produkte Open-Source-Komponenten verwenden. Das erreichen wir, indem wir unsichere Open-Source-Komponenten in Echtzeit ermitteln und Unterstützung bei der Problembehebung anbieten.

Über Plug-ins, die sich in Repositorys, Build Tools, CI-Servern, etc. integrieren lassen, werden sämtliche Open-Source-Komponenten in jedem Produkt in Echtzeit erfasst. Sobald die Komponenten dann erkannt wurden, können wir jene unter ihnen ausmachen, die unsicher sind, und die Informationen zu den Sicherheitsproblemen erfassen, anschließend stellen wir eine Gefahrenanalyse und umsetzbare Anleitungen zur Problembehebung zur Verfügung.

Entwickler: Könntest du die Funktionalität und die Infrastruktur von WhiteSource ein wenig näher beschreiben?

Das Problem bei Unsicherheiten im Open-Source-Bereich ist, dass direkt nach der Veröffentlichung ein Wettlauf zwischen Hackern und Nutzern stattfindet.

Die Open-Source-Community leistet wirklich großartige Arbeit, wenn es um das Absichern und Warten von Open-Source-Projekten geht. Allerdings sind die Informationen zu den Projekten über das ganze Netz verstreut und die Mehrheit der Datenbanken sind zudem nicht vernünftig indexiert worden. Das macht es den Nutzern unmöglich, sich ausreichend über die Gefahren und Schwachstellen zu informieren.

WhiteSource sammelt deswegen die Informationen über Open-Source-Projekte aus dem gesamten Web, diese werden anschließend validiert und indexiert. Unsere Plattform lässt sich auch in verschiedene Entwicklungstools integrieren, um Open-Source-Komponenten in Echtzeit zu erkennen und die Informationen dann mit unserer Datenbank zu verknüpfen.

Das macht es uns möglich die Entwickler-, DevOps- und Security-Teams in Echtzeit zu alarmieren, wenn eine gefährdete oder problematische Open-Source-Komponente hinzugefügt wurde. Alarm wird auch dann ausgelöst, wenn eine Schwachstelle in einem bereitgestellten Produkt entdeckt wird, denn viele Schwachstellen in Open-Source-Software werden erst Jahre nach der Veröffentlichung der jeweils betroffenen Bibliothek erkannt.

Entwickler: Was unterscheidet WhiteSource von anderen Tools, welche die gleiche Funktionalität anbieten? Was ist das Alleinstellungsmerkmal von WhitesSource?

Yossi Weinberg: WhiteSource ist dazu in der Lage, Schwachstellen in Open-Source-Software nach deren Auswirkung auf die Sicherheit eines Produktes zu priorisieren und hilft Teams somit dabei, sich auf die entscheidenden Dinge zu konzentrieren. Darüber hinaus bietet unser Produkt Entwicklern eine vollständige Trace-Analyse. Das soll ihnen helfen zu verstehen, wie sie diese Schwachstellen am besten nutzen und beheben können.

Ebenfalls erwähnenswert ist der Punkt, dass wir die einzige Lösung bereitstellen, die über 200 Programmiersprachen unterstützt und alle geläufigen Entwicklungswerkzeuge abdeckt.

Entwickler: Warum ist „Open-Source-Management“ so ein wichtiges Thema für Projekte?

Yossi Weinberg: Open-Source-Komponenten machen etwa 60% bis 80% der gesamten Code-Basis aus, die in kommerziellen Anwendungen verwendet wird. Schwachstellen in Open-Source-Komponenten können nicht durch die Verwendung von Tools wie SAST erkannt werden, die sonst Schwachstellen in proprietärem Code ausmachen.

Wenn man keine „Open-Source-Management“-Tools (auch bekannt als „Softwarekompositionsanalyse-Tools“) nutzt, bleiben 60% bis 80% der Code-Basis ungeschützt. Außerdem steigt die Zahl der gemeldeten CVEs mit der zunehmenden Verbreitung von Open Source und dem steigenden Sicherheitsbewusstsein in der Community, rapide an. Allein im Jahr 2017 hat sich die Zahl der gemeldeten Schwachstellen mehr als verdoppelt.

Das Problem bei Unsicherheiten im Open-Source-Bereich ist, dass direkt nach der Veröffentlichung ein Wettlauf zwischen Hackern und Nutzern stattfindet. Das liegt vor allem daran, dass sämtliche Informationen ja öffentlich zugänglich sind.

Entwickler: Wie bewertest du das Konzept von Open Source? Wie wird die Zukunft von Open Source aussehen?

Die Open Source Community leistet wirklich großartige Arbeit, wenn es um das Sichern und Warten der Projekte geht.

Yossi Weinberg: Open Source ist eine treibende Kraft in der Software-Innovation. Damit ist es Entwicklerteams möglich, ihre Ressourcen so einzuteilen, dass sie sich auf die Entwicklung neuer Technologien konzentrieren können und nicht das Rad ständig neu erfinden müssen. Es ist zudem auch eine Notwendigkeit für Teams, die die Geschwindigkeit kontinuierlich erhöhen müssen, mit der Software deployt wird.

Die Nutzung von Open-Source-Software wird weiter zunehmen und auch die Beachtung der Open-Source-Community wird steigen. Viele Lektionen wurden nach der Heartbleed-Schwachstelle gelernt, doch die größte Lücke besteht derzeit darin, dass die Nutzer von Open-Source-Projekten – die Entwicklerteams – keine Verantwortung für ihre Verwendung von Open-Source-Software übernehmen.

Das muss sich ändern. Die Frage ist nun, wie viele Datenlecks (wie bspw. Equifax), die zu Schwachstellen in Open-Source-Software geführt haben, bis dahin noch geschehen werden.

Entwickler: Microsoft hat gerade GitHub übernommen; glaubst du, dass dies einen großen Einfluss auf die Open Source Community haben wird? GitHub ist schließlich die Plattform für das Hosting von Open-Source-Projekten.

Yossi Weinberg: Dieser Deal unterstreicht die Bedeutung von Open Source in modernen Softwareprodukten. Microsofts Ziel ist es, die Beziehung zu den Entwicklern zu vertiefen und wie kann man das besser erreichen, als die Go-to Hosting-Seite und das beliebteste Repository für Open Source Code zu kaufen?

Wir glauben, dass dies die Community nur stärken wird, da Microsoft das Angebot von GitHub stärken wird. Das Ziel ist dabei, wie erwähnt, die Vertiefung ihrer Beziehung zur Open Source Community. Microsoft wird nicht gegen die Community arbeiten oder versuchen, sie in irgendeiner Weise einzuschränken.

Entwickler: Vielen Dank für das Gespräch!

Yossi Weinberg ist Softwareentwickler bei WhiteSource.

 

 

.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -