Cleanup: Libraries (Entwickler)

In der Informationssicherheit gibt es eine Vielzahl von Themen, die regelmässig unter die Lupe genommen werden müssen. Schauen wir uns an, auf was Entwickler bei Libraries achten müssen.

Was?

“Das Rad nicht neu erfinden" - Dieser Spruch gilt auch in der Softwareentwicklung in Form von Libraries. Jede Programmiersprache hat ein System um Libraries (fertige Funktionen von Dritten) einzubinden. Oft auch direkt mit einem eigenen Package-Manager um diese Libraries zu verwalten und nutzen. So zum Beispiel (nicht abschliessend):

• NuGet bei .Net
• PyPI bei Python
• Composer bei PHP
• npm, yarn, pnpm bei JavaScript
• Maven bei Java

Das Verwenden von Libraries macht durchaus Sinn. So kann Software viel schneller entwickelt werden. Gerade bei der Kryptographie gilt der Grundsatz: “Don’t roll your own crypto”. Die Entwicklung von fehlerfreien Kryptografie-Funktionalitäten ist sehr schwer. Das sieht man auch daran, dass immer wieder Bugs in etablierten Crypto-Libraries gefunden werden.

Libraries helfen also bei der Softwareentwicklung. Die verwendeten Libraries müssen jedoch sorgfältig ausgewählt und geprüft werden. Das Thema Supply-Chain-Attack auf Softwarelibraries ist in den letzten Jahren immer populärer geworden.

Wieso?

Eine Software heute nutzt verschiedenste Libraries. Die Mobile App der SBB verweist offiziell auf 31 Thridparty Libs. Ist eine Software geschrieben und im produktiven Einsatzt, müssen diese Libraries trotzdem regelmässig geprüft werden. Den jede der verwendeten Libs entwickelt sich weiter. Auch können Bugs oder Sicherheitslücken gefunden werden. Aktualisiert man dann die Lib in seiner Software nicht, so ist meine Software anfällig auf die Ausnutzung einer Sicherheitslücke, welche gar nicht in meinem Sourcecode vorhanden ist. Man sollte sich auch nicht darauf verlassen, dass die Library keinen bösartigen Code enthält. Genau wie beim Typosquatting (TODO Blog) von Domains gibt es auch das Typosquatting bei Lib-Namen. Diese Libs beinhalten dann bösartigen Code.

Fazit

Prüft man die verwendeten Libraries nicht regelmässig und aktualisiert sie, so wird die Software anfällig auf Sicherheitslücken, welche in Libraries gefunden werden. Obwohl der Sourcecode der meisten Libs frei verfügbar ist, kann man sich nicht darauf verlassen, dass jemand den Sourcecode auf Sicherheitslücken oder bösartigen Code untersucht hat.

Checkliste

• Wird die Lib noch aktiv weiterentwickelt?
• Brauchen wir diese Lib noch?
• Gibt es bekannte CVE’s (bekannte Schwachstellen) für diese Lib?
• Gibt es eine neue Version der Lib?
• er entwickelt die Lib? Ist der Maintainer vertrauenswürdig?