Software offen zu gestalten, war lange keine Selbstverständlichkeit. Heute hingegen ist Open-Source-Software zur Grundlage der modernen Welt geworden. Doch das Prinzip der Offenheit birgt mit einem wachsenden Umfang an Projekten und Mitwirkenden auch Sicherheitsrisiken. Ein Team von Forscher*innen vom Exzellenzcluster CASA „Cyber Security in the Age of Large-Scale Adversaries“ an der Ruhr-Universität Bochum (RUB) und vom CISPA Helmholtz-Zentrum für Informationssicherheit untersuchten die Prozesse sowie Sicherheits- und Vertrauenspraktiken bei Open-Source-Projekten. Dazu führten sie 27 ausführliche Leitfadeninterviews mit Mitwirkenden, Maintainern und Begründer*innen von kleineren und größeren Projekten durch.
Ihre Ergebnisse stellten die Forscher*innen auf der IEEE S&P vor. Für ihr Paper „Committed to Trust: A Qualitative Study on Security & Trust in Open Source Software Projects“ erhielten Dominik Wermke und Noah Wöhler vom CISPA, Jan H. Klemmer vom Exzellenzcluster CASA, Marcel Fourné vom Max-Planck-Institut für Sicherheit und Privatsphäre (MPI-SP) sowie die beiden CASA Principal Investigator (PI) Yasemin Acar (George Washington University) und Sascha Fahl (CISPA und Leibniz Universität Hannover) auf der Konferenz einen Distinguished Paper Award.
Warum ist das Konzept der Offenheit so erfolgreich?
Open-Source-Software ist ein fester Bestandteil in der IT-Branche, so basieren beispielsweise nahezu alle Webserver und viele Browser auf freien Komponenten. „Jeder kann sich den Programmcode ansehen, ihn nutzen, verändern oder erweitern“, erklärt Jan Klemmer, CASA-Doktorand in der Forschungsgruppe Empirische Informationssicherheit an der Leibniz Universität Hannover das Prinzip. Der Schutz der eigenen Quellcodes ist also oftmals überholt: Heute nutzen Unternehmen und Institutionen den in zahlreichen Open-Source-Projekten frei verfügbaren Quellcode. Vergleichbar ist dies mit einer Bibliothek: Die Open-Source-Software wird als ein Modul neben vielen anderen öffentlich zur Verfügung gestellt und kann bei Bedarf von Dritten für eigene Projekte verwendet werden.
Die Entwicklung und das Schreiben des Quellcodes übernehmen dabei Softwareentwickler*innen kollaborativ. So genannte Committer, können von ihnen geschriebenen Programmcode zur Aufnahme in ein Projekt vorschlagen und so der Community zur Verfügung stellen. Anschließend entscheiden sogenannte Maintainer, die wie Moderator*innen in den Open-Source-Projekten fungieren, über die Aufnahme oder Änderungen in einer Software. Das ist jedoch nicht immer ohne Risiko: „Die Übernahme von nicht selbst programmierten Quellcodes spart natürlich Zeit und entwickelt das Projekt weiter, aber es besteht die Möglichkeit, dass Sicherheitslücken in das eigene Projekt übernommen werden und es so verwundbar für mögliche Angriffe ist“, hebt Klemmer hervor.
Herausforderungen für Sicherheit und Vertrauen
In ihrer Studie stellten die Forscher*innen fest, dass nur wenige der Teilnehmer*innen bisher einen solchen Sicherheitsvorfall erlebt haben. Das kann zum Beispiel die heimliche und absichtliche Einführung von Fehlern im Quellcode sein. Häufig berichteten sie von verdächtigen Commits, die sich jedoch schnell aufgrund offensichtlicher Fehler und schlechter Qualität identifizieren ließen – ähnlich wie bei Spam-E-Mails. In diesem Zusammenhang spielt das Vertrauen in neue Committer und die Größe des Projekts eine wichtige Rolle. „Insbesondere in größeren Projekten kennt man häufig nur den Benutzernamen, aber weiß nicht mehr über die Person – oft sind die Contributor geographisch verteilt und man kennt sich, wenn überhaupt, nur virtuell. In vielen Projekten wird ihnen deshalb auf Basis ihrer entsprechenden bisherigen Beiträge und Mitarbeit am Projekt vertraut“, so Jan Klemmer.
Etwa die Hälfte der Befragten berichtete von existierenden Orientierungshilfen und Richtlinien für die Mitarbeit in ihren Open-Source-Projekten. Dabei variierte das Empfinden bezüglich der Nützlichkeit entsprechender Richtlinien stark: Es reichte von sehr nützlich bis hin zu wenigen Vorteilen bei einem hohen Erstellungsaufwand entsprechender Dokumentationen für andere Teilnehmer*innen. Ein Teil der Studienteilnehmer*innen gab an, keine spezifischen Sicherheitsrichtlinien zu haben. Daneben hatten andere Projekte fest definierte Kontaktmöglichkeiten, um Verwundbarkeiten melden zu können sowie entsprechende Prozesse für die Veröffentlichung von Sicherheitslücken.
Open-Source-Sicherheit gewinnt an Bedeutung
Durch die stark gestiegene Verbreitung von Open-Source-Projekten gewinnt deren Sicherheit und die der gesamten Software Supply Chain stetig an Bedeutung. Auch Sicherheitsvorfälle in der jüngeren Vergangenheit, wie etwa die Verwundbarkeit Log4Shell (CVE-2021-44228), unterstreichen dies immer wieder. Um die Sicherheit in Open-Source-Projekten weiter zu verbessern, muss deshalb auf die individuellen Gegebenheiten der Projekte eingegangen werden.
Originalveröffentlichung
Dominik Wermke, Noah Wöhler, Jan H. Klemmer, Marcel Fourné, Yasemin Acar, Sascha Fahl: Committed to Trust: A Qualitative Study on Security & Trust in Open Source Software Projects, IEEE Symposium on Security and Privacy, 2022, DOI: 10.1109/SP46214.2022.9833686
Begleitende Website zur Veröffentlichung
https://publications.teamusec.de/2022-oakland-sec-oss/
Pressekontakt
Jan H. Klemmer
Leibniz Universität Hannover
Fachgebiet Empirische Informationssicherheit
Tel.: +49 511 762-14836
E-Mail: klemmer(at)sec.uni-hannover.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.