Sysbus
NewsSecurity

Synopsis: Veraltete Open-Source-Bestandteile in kommerziellen Software-Produkten

gcg

Ein aktueller Bericht von Synopsys befasst sich mit Open-Source-Sicherheit und Risikoanalyse (OSSRA). Der Report vermittelt die Kenntnisse, die sich aus mehr als 1250 Analysen kommerzieller Codebasen ergeben haben. Die Analysen wurden vom Black Duck Audit Services-Team des Synopsys Cybersecurity Research Center (CyRC) durchgeführt. Im Zentrum des Reports stehen Muster und Trends in Bezug auf die Nutzung von Open-Source-Komponenten innerhalb kommerzieller Applikationen. Darüber hinaus liefert der Bericht auch Empfehlungen und Einblicke, die Unternehmen dabei helfen sollen, die mit der Open-Source-Nutzung verbundenen Risiken aus betrieblicher Sicht sowie unter Berücksichtigung von Lizenzkonformitäts- und Sicherheitsaspekten zu bewältigen.

Screenshot: Sysbus

Der OSSRA-Bericht 2020 bestätigt erneut die entscheidende Rolle, die Open Source im derzeitigen Software-Ökosystem spielt, und zeigt, dass tatsächlich alle (99 Prozent) der im letzten Jahr geprüften Codebasen mindestens eine Open-Source-Komponente enthalten, wobei Open Source insgesamt 70 Prozent des Codes ausmacht. Noch bemerkenswerter ist die weit verbreitete Verwendung veralteter oder ausgelaufener Open-Source-Komponenten. 91 Prozent der Codebasen enthalten Komponenten, die entweder bereits seit über vier Jahren veraltet sind oder die in den letzten zwei Jahren nicht mehr weiterentwickelt wurden.

Der besorgniserregendste Trend, den die diesjährige Analyse aufzeigt, ist das wachsende Sicherheitsrisiko, das von nicht korrekt verwaltetem Open Source Code ausgeht: 75 Prozent der geprüften Codebasen enthalten Open-Source-Komponenten mit bekannten Sicherheitslücken, gegenüber 60 Prozent im Vorjahr. In ähnlicher Weise enthält fast die Hälfte (49 Prozent) der Codebasen hochriskante Schwachstellen, im Vergleich zu 40 Prozent nur zwölf Monate zuvor.

Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Center: „Open Source spielt in der modernen Software-Entwicklung und -Bereitstellung eine entscheidende Rolle. Das lässt sich schwerlich von der Hand weisen. Aber dabei wird leicht übersehen, wie Open Source sich hinsichtlich der Sicherheit und der Einhaltung von Lizenzbestimmungen auf die Risikosituation innerhalb einer Anwendung auswirkt. Der OSSRA-Bericht 2020 bestätigt, wie Organisationen weiterhin darum ringen, Open-Source-Risiken effektiv nachzuverfolgen und zu managen. Eine genaue Bestandsaufnahme der Softwarekomponenten von Drittanbietern, einschließlich der Open-Source-Abhängigkeiten, zu führen und auf dem neuesten Stand zu halten, ist ein wichtiger Ausgangspunkt, um Anwendungsrisiken auf mehreren Ebenen angehen zu können.“ Für weitere Informationen steht Ihnen der OSSRA-Bericht 2020 in deutscher Sprache zum Herunterladen zur Verfügung. 

Weitere Informationen: https://www.synopsys.com/de-de/software-integrity.html

Ähnliche Beiträge:

  1. White Paper: Handreichungen zur Nutzung der EVB-IT beim Einsatz von Open Source Software
  2. Kostenlose Version der Open Source Security-Lösung Black Duck Hub veröffentlicht
  3. Flexera veröffentlicht Statusreport zu Open Source Lizenzierung
  4. ownCloud bietet neue Support-Optionen für seine Open-Source-Software für Enterprise Filesync und -share an

Das könnte dir auch gefallen

Cloud-Sicherheit von Dynatrace erweitert

gg

White Paper: 7 Key Factors to Software Protection

gg

Remote-Desktop-Lösungen senken Verwaltungs- und Steuerungsaufwand für IT-Administrationen

dcg