Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Abhängigkeiten von Open-Source Bibliotheken prüfen!

M.Sc. Chris Wojzechowski

Bei einer hohen Anzahl von Abhängigkeiten von Open-Source Bibliotheken kann es zu unerwünschten Problemen kommen. Diese müssen, wie es ein aktueller Vorfall zeigt, gar nicht technischen Ursprungs seien sondern können menschliche Beweggründe haben. Die Open-Source Bibliotheken faker.js und colors.js wurden von Marak Squires, dem Entwickler, absichtlich manipuliert.

Entwickler die auf die Funktionen der Bibliotheken zurückgegriffen haben, sollten mit der neusten Version zahlreiche Probleme festgestellt haben. Im konkreten ist die Rede von Loops und diversen anderen Fehlern.

Millionen gehen täglich in Abhängigkeiten von Open-Source Bibliotheken

faker.js – Eine Bibliothek zum Erstellen von Demodaten wird wöchentlich ca. 2,5 Millionen Mal heruntergeladen. Das potenzial ist riesig. Die Version 6.6.6 ist daher nicht mehr funktionstüchtig. Wer auf die Version 5.5.3 zurückgeht, der wird die Probleme vermeiden können.

Etwas kritischer sieht es hingegen bei colors.js aus. Auf diese Stückchen Code greifen wöchentlich 22,4 Mio. Entwickler zurück. Das alles um Farben einer Javascript-Konsole hinzuzufügen. Platz genug für die Nachricht von Marak Squires: Er will offenbar auf die Missstände in der Open-Source Entwicklung hinweisen. Dabei geht es vor allem um die Bereitstellung komplexer Softwareprojekte, welche auch von wohlhabenden Unternehmen genutzt werden, ohne eine monetäre Entschädigung zu leisten.

Diskussion über die plötzliche Veränderung de Codes ist gemischt

Wer die Diskussion verfolgt, der erfährt schnell, dass es an dieser Front zwei Lager gibt. Die einen wünschen sich mehr solcher Aktionen. Das übergeordnete Ziel ist häufig den finanziellen Boden zu schaffen um Open-Source Projekte zu finanzieren. Andere hingegen kritisieren die Aktion scharf, da auch gemeinnützige Projekte leiden und kleine Unternehmen in die Bredouille kommen.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Abhängigkeiten von Open-Source Bibliotheken sollten beobachtet und reduziert werden

Programmiercode einzubinden, der von unabhängigen Dritten willkürlich angepasst werden kann, stellt ein Risiko dar. Aus diesem Grund sollten sich vor allem Unternehmen, die sich mit dem Thema Informationssicherheit beschäftigen, dieser Aufgabe widmen.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.