Synopsis: Veraltete Open-Source-Bestandteile in kommerziellen Software-Produkten

Ein aktueller Bericht von Synopsys befasst sich mit Open-Source-Sicherheit und Risikoanalyse (OSSRA). Der Report vermittelt die Kenntnisse, die sich aus mehr als 1250 Analysen kommerzieller Codebasen ergeben haben. Die Analysen wurden vom Black Duck Audit Services-Team des Synopsys Cybersecurity Research Center (CyRC) durchgeführt. Im Zentrum des Reports stehen Muster und Trends in Bezug auf die Nutzung von Open-Source-Komponenten innerhalb kommerzieller Applikationen. Darüber hinaus liefert der Bericht auch Empfehlungen und Einblicke, die Unternehmen dabei helfen sollen, die mit der Open-Source-Nutzung verbundenen Risiken aus betrieblicher Sicht sowie unter Berücksichtigung von Lizenzkonformitäts- und Sicherheitsaspekten zu bewältigen.

Screenshot: Sysbus

Der OSSRA-Bericht 2020 bestätigt erneut die entscheidende Rolle, die Open Source im derzeitigen Software-Ökosystem spielt, und zeigt, dass tatsächlich alle (99 Prozent) der im letzten Jahr geprüften Codebasen mindestens eine Open-Source-Komponente enthalten, wobei Open Source insgesamt 70 Prozent des Codes ausmacht. Noch bemerkenswerter ist die weit verbreitete Verwendung veralteter oder ausgelaufener Open-Source-Komponenten. 91 Prozent der Codebasen enthalten Komponenten, die entweder bereits seit über vier Jahren veraltet sind oder die in den letzten zwei Jahren nicht mehr weiterentwickelt wurden.

Der besorgniserregendste Trend, den die diesjährige Analyse aufzeigt, ist das wachsende Sicherheitsrisiko, das von nicht korrekt verwaltetem Open Source Code ausgeht: 75 Prozent der geprüften Codebasen enthalten Open-Source-Komponenten mit bekannten Sicherheitslücken, gegenüber 60 Prozent im Vorjahr. In ähnlicher Weise enthält fast die Hälfte (49 Prozent) der Codebasen hochriskante Schwachstellen, im Vergleich zu 40 Prozent nur zwölf Monate zuvor.

Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Center: „Open Source spielt in der modernen Software-Entwicklung und -Bereitstellung eine entscheidende Rolle. Das lässt sich schwerlich von der Hand weisen. Aber dabei wird leicht übersehen, wie Open Source sich hinsichtlich der Sicherheit und der Einhaltung von Lizenzbestimmungen auf die Risikosituation innerhalb einer Anwendung auswirkt. Der OSSRA-Bericht 2020 bestätigt, wie Organisationen weiterhin darum ringen, Open-Source-Risiken effektiv nachzuverfolgen und zu managen. Eine genaue Bestandsaufnahme der Softwarekomponenten von Drittanbietern, einschließlich der Open-Source-Abhängigkeiten, zu führen und auf dem neuesten Stand zu halten, ist ein wichtiger Ausgangspunkt, um Anwendungsrisiken auf mehreren Ebenen angehen zu können.“ Für weitere Informationen steht Ihnen der OSSRA-Bericht 2020 in deutscher Sprache zum Herunterladen zur Verfügung. 

Weitere Informationen: https://www.synopsys.com/de-de/software-integrity.html