Web

Uneigennützig

Google behebt Fehler in Open Source-Projekten

03.03.2017
Von 
Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
Ein Team von Google-Mitarbeiten hat im Rahmen der "Operation Rosehub" Sicherheitslücken in 2600 Open-Source-Projekten geschlossen.

Open-Source-Projekte sind nicht frei von Sicherheitslücken, vor allem ungepatchte Versionen sind oft ein Einfallstor für Hacker. Eine Programmiererin bei Google war deshalb besorgt, als sie in einer Vielzahl von GitHub-Projekten eine Sicherheitslücke namens Mad Gadget entdeckte. Bei Github wird der Quelltext von unzähligen kleinen und größeren Open-Source-Projekten verwaltet, aktuell nutzen 19 Millionen Entwickler den Webdienst.

Mad Gadget oder Apache Commons Collections Deserialization Vulnerability ist ein Fehler, der in den so genannten Gadget-Klassen der Apache Commons Collections auftaucht. Diese bilden aber den Java-Unterbau für zahllose Open-Source-Projekte, die dadurch stark durch Angriffe gefährdet sind. Ende 2016 wurde diese weitreichende Lücke etwa von einem Hacker genutzt, um die Verkehrsbetriebe der Stadt San Francisco zu erpressen. Firmen wie Oracle, Siscon oder Vmware schlossen die Sicherheitslücke sofort, nicht jedoch zahlreiche Open Soure-Projekte.

Wie der Eintrag im Google Blog berichtet, dachte die Google-Mitarbeiterin anfangs, eine simple Benachrichtigung der Projektverantwortlichen, so genannte Pull Requests, wären ausreichend. Das Problem erwies sich aber als schwerwiegender als angenommen, da viele Projekte weiter auf die fehlerhafte alte Version verweisen. Mit einer Datenbankabfrage mit Googles Data Warehouse Big Query fand man schließlich etwa 2600 Projekte, die von dem Fehler betroffen waren. Mit der Unterstützung von 50 Kollegen wurden diese Sicherheitslücken am Ende manuell korrigiert, was mehrere Monate dauerte. Die Google Mitarbeiter nutzten dafür die 20 Prozent Arbeitszeit, die Firmenangehörigen für eigene Projekte zur Verfügung steht.

Unser Kommentar: Je mehr Open Source-Projekte es gibt, desto weniger Freiwillige haben offenbar Zeit für Kontrolle und Korrektur. Google hat mit seiner Arbeit einen sehr sinnvollen Beitrag geleistet. Vielleicht wäre es ja keine Fehlentwicklung, wenn sich Firmen vermehrt um Pflege und Korrektur kümmern. Profitieren doch zahllose Firmen von Open Source Software, wozu auch Apple zählt. Und ohne lizenzfreie Linux-Server hätte auch das miliardenschwere Unternehmen Google nie so schnell wachsen können. (PC-Welt)