Open Source steht für schnelle und flexible Veränderung, der Fortschritt darf Cyberkriminellen und Sicherheitslücken aber nicht Tür und Tor öffnen. Einen Einblick in die Sicherheit von Open Source Libraries gibt die Open-Source-Edition des „State of Security“-Reports.
Sicherheit muss bei der Auswahl ihrer Open Source Libraries durch Entwickler oberste Priorität genießen.
Im Zuge der fortschreitenden digitalen Transformation, aber auch im Bereich der Softwareentwicklung rücken Open Source Libraries immer mehr in den Fokus. Das Bundesministerium des Innern, für Bau und Heimat testet gemeinsam mit den Ländern Nordrhein-Westfalen und Baden-Württemberg eine Plattform zur Entwicklung von Open-Source-Software für die Öffentliche Verwaltung. Das Ziel: Digitale Souveränität ausbauen und Software länderübergreifend entwickeln.
Eine Open-Source-App, die bundesweit bereits genutzt wird, ist die Corona-Warn-App. Hier kam es Anfang Juli zu einem Aufschrei, da es Externen gelungen war, einen QR-Code nachzubauen und damit ein Impfzertifikat für den lange verstorbenen Robert Koch zu fälschen. Folglich wurde die Sicherheit der Softwarekomponenten der Applikation, die unter einer Apache-Lizenz vollständig öffentlich zugänglich sind, in Frage gestellt.
Ausgangspunkt war in diesem Fall keine „echter“ Programmierfehler, der für eine Anfälligkeit sorgte, sondern eine ein logischer Fehler in der App. Trotzdem machte der Vorfall deutlich, dass die Integration der Software-Sicherheit stärker kontrolliert und die Prozesse verbessert werden müssen.
SoSS v11: Open Source Edition
Einen Überblick über die Sicherheit von Open Source Libaries bietet der aktuelle Report von Veracode. Für den SoSS v11: Open Source Edition wurden 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 Libraries analysiert. Für einen umfassenden Einblick in die Sicherheit von Open Source Libraries, und um einen Überblick über verschiedene Arbeitsweisen zu erhalten, wurden zusätzlich fast 2.000 Entwickler befragt.
Im Zentrum der Erkenntnisse steht der Wandel: Nichts ist so sicher wie die Veränderung im Bereich Open Source Libraries. Zum einen schwanken die bevorzugten Libraries innerhalb der jeweiligen Programmiersprachen enorm. Während bei .NET (Newtonsoft.Json), JavaScript (inherits), Ruby (rake), Python (six) und Java (SLF 4J API Module) die gleichen Libraries den ersten Platz belegen, waren es bei den Programmiersprachen Go (/x/net), PHP (psr/log) und Swift (SwiftLint) Libraries, die 2019 den zweiten (/x/net, psr/log) und sogar den elften (SwiftLint) Platz belegt hatten.
Zum anderen schwankt neben der Beliebtheit auch die Sicherheit der verschiedenen Libraries. Hier belegen bei .NET (System.Text.RegularExpressions), Go (/x/text), JavaScript (lodash), Java (jackson-databind), Python (urllib3) und Swift (nanopb) die gleichen Libraries den ersten Platz bezüglich der Anfälligkeit für Sicherheitsrisiken wie im Jahr 2019. Bei den Programmiersprachen PHP (zendframework/zendframework1) und Ruby (rack) waren es Libraries, die 2019 den dritten (rack) und siebten (zendframework/zendframework1) Platz belegt hatten.
Informationen bringen Geschwindigkeit
Unsicherheit prägt das Arbeitsumfeld von Entwicklern. Gute Nachrichten gibt es aber bezüglich ihrer Reaktionszeit. Werden Entwickler auf Schwachstellen aufmerksam, beheben sie diese schnell – 17 Prozent der Sicherheitsrisiken werden innerhalb einer Stunde, 25 Prozent innerhalb einer Woche behoben.
Ein ungebremster und effizienter Informationsfluss muss im Bereich der Softwareentwicklung mit Open Source daher in Zukunft priorisiert werden. Ohne Informationen über Schwachstellen benötigen Entwickler mehr als sieben Monate, um 50 Prozent der bestehenden Sicherheitsrisiken zu beheben – mit den notwendigen Informationen benötigen sie lediglich drei Wochen.
Wie Entwickler mit ihrem Mindset die Sicherheit von Open-Source-Libraries beeinflussen
Entwickler müssen in Zukunft ihre Update-Frequenz ausbauen. 79 Prozent der Bibliotheken von Drittanbietern werden nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert. Dabei müssen sie erkennen, dass Updates nicht so viel Arbeit bedeuten, wie sie vermuten. 65 Prozent der Updates, die ein weiteres Update nach sich ziehen, sind geringfügig und umfassen maximal eine kleine Änderung der Version. Dadurch beeinträchtigen die Updates nicht einmal die Funktionalität der komplexesten Softwareanwendungen.
Das Umdenken der Entwickler ist wichtig und verspricht schnellen Erfolg und mehr Sicherheit, denn 92 Prozent der analysierten Schwachstellen in einer Library können bereits mit einem Update behoben werden. Von diesen sind ganze 69 Prozent maximal eine geringe Veränderung der Version.
Neben neuen Update-Regelungen brauchen Entwickler auch eine neue Herangehensweise bei der Auswahl der Bibliotheken. Der SoSS v11: Open Source Edition deckt auf: lediglich 52 Prozent der befragten Entwickler verfolgen einen formalen Prozess bei der Auswahl von Libaries von Drittanbietern. Fragt man diese Entwickler nach einer immer geltenden Priorität, nennen 67 Prozent Funktionalität, 63 Prozent nennen Lizensierung und lediglich 53 Prozent geben an, dass Sicherheit immer eine Priorität ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der SoSS v11: Open Source Edition zeigt, wie wichtig ein Umdenken auf Seiten der Entwickler ist. Sie müssen ihre Update-Frequenz erhöhen, um dem sich schnell wandelnden Umfeld gewachsen zu sein. Gleichzeitig müssen sie Sicherheit bei der Auswahl ihrer Open Source Libraries priorisieren. Für Unternehmen bietet es sich wiederum an, einen ungebremsten Informationsfluss zu fördern und einen formalen Prozess zu etablieren, der Entwicklern hilft, die Auswahl der Libraries im Sinne des Unternehmens zu treffen.
* Julian Totzek-Hallhuber ist Solution Architect bei Veracode.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/4b/184b80efa4e9d1d4d905806db297dd02/0128695221v1.jpeg "Island hat den Enterprise Browser entwickelt, ein Werkzeug für IT-Teams, das Phishing ausschließen, sicheren Umgang mit künstlicher Intelligenz fördern und die Produktivität steigern soll. (Bild: Island)")
:quality(80)/p7i.vogel.de/wcms/b7/ab/b7abb386791d088652b1f35a3a798f4a/0128763755v1.jpeg "Die mIT Cloud kombiniert eine an klassischen Rechenzentrumsstrukturen orientierte Bedienlogik mit der Skalierbarkeit moderner Cloud-Infrastrukturen und richtet sich an MSPs, IT-Systemhäuser und Softwarehersteller. (Bild: mitteldeutsche IT GmbH)")
:quality(80)/p7i.vogel.de/wcms/8b/35/8b351ea0325a2dd165c56d29062bccf2/0128355283v1.jpeg "Autor Thomas Joos schreibt über den hybriden SAP-Betrieb: on premises und in der Cloud. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/cb/eecb952ae6889ccdba1ea140958c93ce/0128434850v2.jpeg "Datensicherheit in Unternehmen: Ransomware, Phishing und Malware sollten lieber draußen bleiben. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/28/2d2879636a16ebf0af36abf0f874ad9e/0128472093v1.jpeg "Das BSI hat gängige Passwortmanager getestet mit dem Ergebnis: Auch wenn nicht alle perfekt sind, überwiegt ihr Nutzen bei weitem die Defizite. (Bild: © janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/87/4187221cff2be0b0bb5f87337c5f2f76/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/60/7860b4ca6dfb7e48c306fe3caca246e1/0128271912v1.jpeg "Arbeitgeber setzen zunehmend digitale Mittel ein, um ihre Mitarbeitenden zu kontrollieren. Doch nicht jede Überwachungsmaßnahme ist erlaubt. (Bild: © Tatiana Shepeleva - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/7a/127a202f8791993f3f4a23a57290e808/0128531184v1.jpeg "Der Fachkräftemangel und steigende technische Anforderungen zwingen IT-Entscheider dazu, ihre Infrastrukturstrategien zu überdenken und Alternativen zu traditionellen Eigenbetrieben zu prüfen, wie zum Beispiel Managed Colocation. (Bild: © weerasak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/49/e9498aba37024db6b189a1d1feb7b4b3/0128720331v1.jpeg "Suse und Evroc schließen eine strategische Partnerschaft für souveräne europäische Cloud-Lösungen. (Bild: Suse / Evroc)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/f1/3cf11e80cb5ef8a61266cf8fe4235118/0128725329v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/f0/b8f0e9ee9aa10dd74db18c87c2de0842/0128527142v1.jpeg "Die WP3-Plattform der Dwpbank zeigt, wie sich Cloud-native Architekturen, Kubernetes und strenge regulatorische Anforderungen im Finanzumfeld vereinen lassen. (Bild: Michael Pasternack / Dwpbank)")
:quality(80)/p7i.vogel.de/wcms/47/c3/47c38f4359d38b21aa65391358de5fca/0128106074v1.jpeg "Daten sind wertvoll und auch in SaaS-Zeiten muss gesichert werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/e8/e0e80a1b19854c10504d5d4e16166864/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/2a/67/2a670dcc420afba3d42871595592803a/0126619828v1.jpeg "Schritt für Schritt: So lassen sich BaaS-Backends konfigurieren und per SDK nahtlos in Anwendungen integrieren. (Bild: © hakinmhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/9b/1f9bff9b2e35c7b1a9ca1b89d5d28fc3/0125224631v1.jpeg "Modularität und Effizienz: Die Zukunft der KI-Strategie liegt bei Smart Language Models und Cloud-Infrastruktur. (Bild: © Moya - stock.adobe.com)")