Open-Source-Komponenten in kommerzieller Software alarmierend unsicher

16.04.2021

Synopsys hat für seinen "2021 Open Source Security and Risiko Analysis Report" über 1.500 kommerzielle Anwendungen untersucht. Laut Untersuchungen nutzen davon überwältigend viele Open-Source-Komponenten, die ihrerseits in breiter Mehrheit Sicherheitsrisiken aufweisen.

Mit seinem "Open Source Security and Risiko Analysis Report" will Synopsis Einblicke und aufschlussreiche Statistiken zu Open-Source-Sicherheit, Codequalitätsrisiko und Lizenzkonformität in kommerzieller Software offerieren. Dieses Jahr auditierte das Black-Duck-Audit-Services-Team dafür mehr als 1 500 Anwendungen.

 

Die Untersuchungen bekräftigten zum einen, dass über alle Industriezweige hinweg in der überwältigenden Mehrheit aller Anwendungen Open-Source-Software als Grundlage dient. Zum anderen beleuchtet die Studie große Schwierigkeiten im Umgang der mit dem Einsatz von quelloffener Software verbundenen Risiken. Deren in Erscheinung treten variierte in den Untersuchen je nach Industriezweig und reicht von über 60 % identifizierten Open-Source-Schwachstellen im Finanzdienstleistungs/-technologie-Sektor (wo 97% der untersuchten Codebases Open-Source-Komponenten enthielten) zu 95 % Sicherheitslücken im Marketingtechnologie-Sektor (wo die Forscher in jeder untersuchten Codebasis Open Source vorfanden).

 

Als noch alarmierender betont das Synopsis Cybersecurity Research Center den breiten Einsatz von offener Software, die aus bereits eingestellten Projekten stammt. So fanden die Forscher unter den Codebases mit Open-Source-Dependenzen 91 % aus Quellen, die in den letzten zwei Jahren keinerlei Entwicklungsaktivitäten zeigten – weder hinsichtlich Code-Verbesserungen noch Sicherheits-Fixes. Zu den weiteren aufgedeckten Sicherheitsrisiken zählen der breite Einsatz von veralteten Open-Source-Komponenten in kommerzieller Software (in 85% aller Codebases mit Open-Source-Komponenten) sowie unterschiedliche Formen von Open-Source-Lizenzkonflikten (in über 90% aller Codebases mit Open-Source-Komponenten).

 

Der komplette Report ist auf der Synopsis-Website downloadbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

HP veröffentlicht Community-Version der Helion Cloud

Das OpenStack-Produkt von HP ist jetzt als kostenlose Community-Version verfügbar.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021