{"id":13960,"date":"2019-02-18T11:56:34","date_gmt":"2019-02-18T10:56:34","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=13960"},"modified":"2019-02-14T10:58:54","modified_gmt":"2019-02-14T09:58:54","slug":"flexera-veroeffentlicht-statusreport-zu-open-source-lizenzierung","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=13960","title":{"rendered":"Flexera ver\u00f6ffentlicht Statusreport zu Open Source Lizenzierung"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Flexera hat den neuen \u201eState of Open Source License Compliance\u201c Report ver\u00f6ffentlicht. Der Sicherheitsreport zeigt: W\u00e4hrend der Anteil von Open Source Software (OSS) zunimmt, sind Unternehmen oft nicht in der Lage die damit verbundenen Lizenz- und Compliance-Verpflichtungen zu erf\u00fcllen. Fehlt es jedoch am Management steigt das Risiko \u2013 sowohl f\u00fcr die IT-Sicherheit als auch auf finanzieller und rechtlicher Seite. <\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"750\" height=\"450\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/02\/Flexera_OpenSource_Report_Infog_Ausschnitt.png\" alt=\"\" class=\"wp-image-13961\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/02\/Flexera_OpenSource_Report_Infog_Ausschnitt.png 750w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2019\/02\/Flexera_OpenSource_Report_Infog_Ausschnitt-300x180.png 300w\" sizes=\"auto, (max-width: 750px) 100vw, 750px\" \/><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr\nden Report analysierte Flexera Daten aus insgesamt 134 Audits, bei denen der\nUmfang der Nutzung von Open Source in Unternehmen bis auf Codeebene erfasst\nwurde. Die Audit-Teams pr\u00fcften die identifizierten OSS-Komponenten sowohl auf\nbekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben.\nDie wichtigsten Ergebnisse des Open Source-Reports im \u00dcberblick: <\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Pro\nAudit konnte Flexera durchschnittlich 367 kritische F\u00e4lle aufdecken. Die gro\u00dfe\nMehrheit (98 Prozent) war den Unternehmen vor Beginn des Audits nicht bekannt. <\/li><li>Rund\n16 Prozent der Treffer wurden als kritische Compliance-Risiken (Priorit\u00e4tsstufe\n1) eingestuft und erforderten sofortige Gegenma\u00dfnahmen. Dazu geh\u00f6ren unter\nanderem schwere Verst\u00f6\u00dfe gegen Copyleft-Lizenzen, die APGL und GPL betreffen.\nWeitere zehn Prozent der entdeckten OSS-F\u00e4lle fielen unter Priorit\u00e4tsstufe 2\n(zum Beispiel sekund\u00e4re Probleme mit kommerziellen Lizenzen). 71 Prozent der\nErgebnisse entsprachen der Priorit\u00e4tsstufe 3, darunter risikoarme Probleme im\nZusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.<\/li><li>Durchschnittlich\nstie\u00dfen die Flexera-Analysten alle 32.873 Codezeilen auf ein Compliance-Risiko,\neine Schwachstelle oder \u00c4hnliches. Diese Trefferquote erscheint zwar auf den\nersten Blick relativ klein. Ber\u00fccksichtigt man jedoch die tats\u00e4chliche enorme\nAnzahl an Code, aus denen sich Softwareprodukte zusammensetzen, ver\u00e4ndert sich\ndas Bild. So umfasst beispielsweise die Software in modernen Autos\ndurchschnittlich 80 bis 100 Millionen Codezeilen pro Fahrzeug. <\/li><li>Im\nZuge der Auswertung verglich Flexera die Ergebnisse von forensischen Audits im\nRahmen von \u00dcbernahmen und Fusionen mit weniger tiefgreifenden Baseline-Audits.\nDas Ergebnis: Bei M&amp;A Audits konnten die Analysten 30 Prozent mehr\nOSS-kritische F\u00e4lle der Priorit\u00e4tsstufe 1 identifizieren. Bei Vorf\u00e4llen der\nPriorit\u00e4tsstufe 2 und 3 waren es sogar 224 Prozent beziehungsweise 245 Prozent\nmehr. Insgesamt lieferten Forensic Audits damit doppelt so viele Ergebnisse wie\neine oberfl\u00e4chliche \u00dcberpr\u00fcfung auf Open Source. <\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">\u201eMit dem Trend zu immer schnelleren und agileren Entwicklungsprozessen, werden Compliance- und Sicherheitsfragen beim Einsatz von Open Source oft nicht ausreichend beleuchtet. Das trifft vor allem dann ein, wenn das Unternehmen keine klaren Richtlinien zur Nutzung und Erfassung von OSS vorgibt. Viele Unternehmen verlassen sich auf eine oberfl\u00e4chliche Analyse der verwendeten Komponenten. So bleiben viele Details wie zum Beispiel Snippets, die \u00fcber Copy und Paste in den Code gelangen verborgen\u201d, erkl\u00e4rt Nicole Segerer, Head of IoT DACH bei Flexera. \u201eZudem gilt es, die gesamte Software Supply Chain im Auge zu behalten. Open-Source-Code stammt in den meisten F\u00e4llen aus unterschiedlichen Quellen wie Containern, Build-Dependencies oder Bin\u00e4rdateien. Es geht also nicht nur darum, den eigenen, intern entwickelten Code zu kennen, sondern auch zu wissen, was \u00fcber externe Partner und Drittanbieter hinzuf\u00fcgt wurde.\u201c<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Weitere Informationen: <a href=\"http:\/\/www.flexera.de\">www.flexera.de<\/a> und <a href=\"https:\/\/info.flexerasoftware.com\/SCA-WP-Open-Source-License-Compliance-Report\">https:\/\/info.flexerasoftware.com\/SCA-WP-Open-Source-License-Compliance-Report<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Flexera hat den neuen \u201eState of Open Source License Compliance\u201c Report ver\u00f6ffentlicht. Der Sicherheitsreport zeigt: W\u00e4hrend der Anteil von Open<\/p>\n","protected":false},"author":1,"featured_media":13961,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10140,4],"tags":[3655,12076,1139,5562,2691,11225,3919,8225,1027,11046,3140,12075],"class_list":["post-13960","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-news","tag-apache","tag-apgl","tag-audit","tag-bsd","tag-flexera","tag-gpl","tag-lizenzierung","tag-mit","tag-open-source","tag-oss","tag-report","tag-sicherheitsreport"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13960"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13960\/revisions"}],"predecessor-version":[{"id":13962,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/13960\/revisions\/13962"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/13961"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13960"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13960"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}