Veraltete Open-Source-Komponenten sind Sicherheitsrisiko
Unzureichend verwaltete Open-Source-Komponenten stellen in kommerziellen Anwendungen ein großes Risiko dar – das die meisten Anbieter betrifft.
(Bild: antb/Shutterstock.com)
- Nicole Bechtel
91 Prozent aller Codebasen besitzen verwaiste Open-Source-Komponenten. Zu diesem Ergebnis kommt der Bericht Open Source Security and Risk Analysis 2021 (OSSRA) des Sicherheitsdienstleisters Synopsys. Der Bericht liefert eine Momentaufnahme vom aktuellen Status des Open-Source-Sicherheits-, Compliance-, Lizenzierungs- und Codequalitätsrisikos in kommerzieller Software. Untersucht wurden verschiedene Branchen, darunter Marketing, Finanzdienstleistungen, Gesundheit, E-Commerce. Der untersuchte Code enthielt nicht mehr weiterentwickelte Open-Source-Abhängigkeiten, es fehlten Updates und Security-Patches.
Von den geprüften Marketing-Tech-Firmen, inklusive CRM, Social Media und Lead-Generierung, verwenden 100 Prozent Open-Source-Komponenten. Davon weisen 95 Prozent aller Codebasen Schwachstellen auf. Im Finanz-/FinTech-Bereich sind es 60 Prozent; der Anteil von Open Source beläuft sich in diesem Sektor auf 97 Prozent. Einzelhandel und E-Commerce nutzen Open Source in 92 Prozent aller Codebasen. Davon sind 71 Prozent von Schwachstellen betroffen. Insgesamt sei der Anteil der Schwachstellen in Open-Source-Komponenten um 9 Prozent gegenüber 2019 gestiegen.
Lizenzen fehlen
Auch bei der Lizenzierung zeigten sich Mängel. So gab es in 65 Prozent aller Codebasen Lizenzkonflikte, die meisten betrafen die GNU General Public License. 26 Prozent der Codebasen nutzen Open Source ohne oder mit einer angepassten Lizenz. Auch wenn die Open-Source-Community regelmäßig Code aktualisiert und Patches schneller veröffentlicht als es in proprietärer Software geschieht, stelle dies noch keine Garantie für sichere Codebasen dar.
Das Research Center des Securitydienstleisters Synopsys, der auch Software für Halbleiterdesign und IP-Core-Produkte herstellt, hat die Ergebnisse aus 1500 Audits kommerzieller Codebasen untersucht. Die Audits führte das Audit-Services-Team der Tochtergesellschaft Black Duck durch.
Der Bericht liefert eine Momentaufnahme vom aktuellen Status des Open-Source-Sicherheits-, Compliance-, Lizenzierungs- und Codequalitätsrisikos in kommerzieller Software. Das Team des Forschungszentrums begutachtete anonym 1500 kommerzielle Codebasen aus 17 Branchen. Der Synopsys-Bericht lässt sich nach einer Registrierung von der Webseite des Unternehmens herunterladen, weitere Informationen liefert der Blog.
(nb)
