Bei einer hohen Anzahl von Abhängigkeiten von Open-Source Bibliotheken kann es zu unerwünschten Problemen kommen. Diese müssen, wie es ein aktueller Vorfall zeigt, gar nicht technischen Ursprungs seien sondern können menschliche Beweggründe haben. Die Open-Source Bibliotheken faker.js und colors.js wurden von Marak Squires, dem Entwickler, absichtlich manipuliert.
Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter
Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.
Kostenfrei. Jetzt anfordern
Entwickler die auf die Funktionen der Bibliotheken zurückgegriffen haben, sollten mit der neusten Version zahlreiche Probleme festgestellt haben. Im konkreten ist die Rede von Loops und diversen anderen Fehlern.
Millionen gehen täglich in Abhängigkeiten von Open-Source Bibliotheken
faker.js – Eine Bibliothek zum Erstellen von Demodaten wird wöchentlich ca. 2,5 Millionen Mal heruntergeladen. Das potenzial ist riesig. Die Version 6.6.6 ist daher nicht mehr funktionstüchtig. Wer auf die Version 5.5.3 zurückgeht, der wird die Probleme vermeiden können.
Etwas kritischer sieht es hingegen bei colors.js aus. Auf diese Stückchen Code greifen wöchentlich 22,4 Mio. Entwickler zurück. Das alles um Farben einer Javascript-Konsole hinzuzufügen. Platz genug für die Nachricht von Marak Squires: Er will offenbar auf die Missstände in der Open-Source Entwicklung hinweisen. Dabei geht es vor allem um die Bereitstellung komplexer Softwareprojekte, welche auch von wohlhabenden Unternehmen genutzt werden, ohne eine monetäre Entschädigung zu leisten.
Diskussion über die plötzliche Veränderung de Codes ist gemischt
Wer die Diskussion verfolgt, der erfährt schnell, dass es an dieser Front zwei Lager gibt. Die einen wünschen sich mehr solcher Aktionen. Das übergeordnete Ziel ist häufig den finanziellen Boden zu schaffen um Open-Source Projekte zu finanzieren. Andere hingegen kritisieren die Aktion scharf, da auch gemeinnützige Projekte leiden und kleine Unternehmen in die Bredouille kommen.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Abhängigkeiten von Open-Source Bibliotheken sollten beobachtet und reduziert werden
Programmiercode einzubinden, der von unabhängigen Dritten willkürlich angepasst werden kann, stellt ein Risiko dar. Aus diesem Grund sollten sich vor allem Unternehmen, die sich mit dem Thema Informationssicherheit beschäftigen, dieser Aufgabe widmen.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
