Studie: Verwendung von Open-Source-Komponenten mit Schwachstellen geht zurück

Laut "State of the Software Supply Chain Report" helfen Best Practises zur Softwarebeschaffung, den Einsatz potenziell gefährlicher Komponenten zu reduzieren.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Studie: Verwendung von Open-Source-Komponenten mit Schwachstellen geht zurück

(Bild: Sonatype)

Lesezeit: 2 Min.
Von
  • Matthias Parbel

Sonatype hat die fünfte Auflage des jährlichen "State of the Software Supply Chain Report" vorgelegt. Die Studie konzentriert sich in diesem Jahr auf qualitative Verbesserung von Open-Source-Software im Hinblick auf kontinuierlichere Aktualisierungen zur Fehler- und Schwachstellenbereinigung. So geht aus dem Report hervor, dass Best Practises zur Softwarebeschaffung im Rahmen einer Open-Source-Governance-Strategie unter anderen maßgeblich zur Vermeidung potenziell gefährlicher Komponenten beitragen. Die Verwendung von Open-Source-Komponenten mit Schwachstellen hat sich demnach mehr als halbiert.

Während sich in den Anwendungen von Entwicklungsabteilungen, die auf verwaltete Supply Chains verzichten, bis zu 21 Prozent an "verwundbaren" Softwarekomponenten finden, liegt der Anteil bei jenen mit strengen Regeln nur bei 9,3 Prozent. Nach Erkenntnissen der Studie tragen dazu auch Tools für die automatisierte und kontrollierte Beschaffung von Open Source bei – insbesondere Repository Manager. Sie erlauben ein häufigeres Aktualisieren von Softwarekomponenten, sodass bei den im Rahmen der Studie untersuchten 12.000 kommerziellen Entwicklungsteams bereits über die Hälfte der verwendeten Open-Source-Komponenten weniger als drei Jahre alt sind.

Demgegenüber warnt der Report vor wachsenden Gefahren durch potenziell gefährliche Komponenten in zentralen Open-Source-Repositorys. So habe beispielsweise der Anteil von JavaScript-Packages mit bekannten Schwachstellen in dem von Sonatype seit 2005 kuratierten Central Repository im vergangenen Jahr bei 10,3 Prozent gelegen – bei insgesamt rund 146 Milliarden Download-Anfragen.

State of the Software Supply Chain Report 2019

(Bild: Sonatype)

Der Report wurde von Sonatype, einem Anbieter von Automatisierungsanwendungen für die Software Supply Chain, in Zusammenarbeit mit Gene Kim von IT Revolution und Stephen Magill, Principal Scientist bei Galois und CEO von MuseDev, erstellt. In die Untersuchung sind rund 36.000 Open-Source-Projektteams einbezogen und mehr als 6200 Entwickler befragt worden. Der 57-seitige "State of the Software Supply Chain Report" steht auf der Sonatype-Website frei zur Verfügung. (map)