Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Abhängigkeiten von Open-Source Bibliotheken prüfen!

M.Sc. Chris Wojzechowski (IT-Risk Manager, IT-Grundschutz Praktiker (TÜV)

Bei einer hohen Anzahl von Abhängigkeiten von Open-Source Bibliotheken kann es zu unerwünschten Problemen kommen. Diese müssen, wie es ein aktueller Vorfall zeigt, gar nicht technischen Ursprungs seien sondern können menschliche Beweggründe haben. Die Open-Source Bibliotheken faker.js und colors.js wurden von Marak Squires, dem Entwickler, absichtlich manipuliert.

Entwickler die auf die Funktionen der Bibliotheken zurückgegriffen haben, sollten mit der neusten Version zahlreiche Probleme festgestellt haben. Im konkreten ist die Rede von Loops und diversen anderen Fehlern.

Millionen gehen täglich in Abhängigkeiten von Open-Source Bibliotheken

faker.js – Eine Bibliothek zum Erstellen von Demodaten wird wöchentlich ca. 2,5 Millionen Mal heruntergeladen. Das potenzial ist riesig. Die Version 6.6.6 ist daher nicht mehr funktionstüchtig. Wer auf die Version 5.5.3 zurückgeht, der wird die Probleme vermeiden können.

Etwas kritischer sieht es hingegen bei colors.js aus. Auf diese Stückchen Code greifen wöchentlich 22,4 Mio. Entwickler zurück. Das alles um Farben einer Javascript-Konsole hinzuzufügen. Platz genug für die Nachricht von Marak Squires: Er will offenbar auf die Missstände in der Open-Source Entwicklung hinweisen. Dabei geht es vor allem um die Bereitstellung komplexer Softwareprojekte, welche auch von wohlhabenden Unternehmen genutzt werden, ohne eine monetäre Entschädigung zu leisten.

Diskussion über die plötzliche Veränderung de Codes ist gemischt

Wer die Diskussion verfolgt, der erfährt schnell, dass es an dieser Front zwei Lager gibt. Die einen wünschen sich mehr solcher Aktionen. Das übergeordnete Ziel ist häufig den finanziellen Boden zu schaffen um Open-Source Projekte zu finanzieren. Andere hingegen kritisieren die Aktion scharf, da auch gemeinnützige Projekte leiden und kleine Unternehmen in die Bredouille kommen.


Keinen Beitrag mehr verpassen – jetzt eintragen

Jetzt E-Mail eintragen, bestätigen und keinen Beitrag verpassen!



Abhängigkeiten von Open-Source Bibliotheken sollten beobachtet und reduziert werden

Programmiercode einzubinden, der von unabhängigen Dritten willkürlich angepasst werden kann, stellt ein Risiko dar. Aus diesem Grund sollten sich vor allem Unternehmen, die sich mit dem Thema Informationssicherheit beschäftigen, dieser Aufgabe widmen.

Foto des Autors

M.Sc. Chris Wojzechowski (IT-Risk Manager, IT-Grundschutz Praktiker (TÜV)

Mein Name ist Chris Wojzechowski und ich bin einer von zwei Geschäftsführern der AWARE7 GmbH. Unser Butter & Brotgeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.