Open-Source-Komponenten in kommerzieller Software alarmierend unsicher

Mit seinem "Open Source Security and Risiko Analysis Report" will Synopsis Einblicke und aufschlussreiche Statistiken zu Open-Source-Sicherheit, Codequalitätsrisiko und Lizenzkonformität in kommerzieller Software offerieren. Dieses Jahr auditierte das Black-Duck-Audit-Services-Team dafür mehr als 1 500 Anwendungen.

Die Untersuchungen bekräftigten zum einen, dass über alle Industriezweige hinweg in der überwältigenden Mehrheit aller Anwendungen Open-Source-Software als Grundlage dient. Zum anderen beleuchtet die Studie große Schwierigkeiten im Umgang der mit dem Einsatz von quelloffener Software verbundenen Risiken. Deren in Erscheinung treten variierte in den Untersuchen je nach Industriezweig und reicht von über 60 % identifizierten Open-Source-Schwachstellen im Finanzdienstleistungs/-technologie-Sektor (wo 97% der untersuchten Codebases Open-Source-Komponenten enthielten) zu 95 % Sicherheitslücken im Marketingtechnologie-Sektor (wo die Forscher in jeder untersuchten Codebasis Open Source vorfanden).

Als noch alarmierender betont das Synopsis Cybersecurity Research Center den breiten Einsatz von offener Software, die aus bereits eingestellten Projekten stammt. So fanden die Forscher unter den Codebases mit Open-Source-Dependenzen 91 % aus Quellen, die in den letzten zwei Jahren keinerlei Entwicklungsaktivitäten zeigten – weder hinsichtlich Code-Verbesserungen noch Sicherheits-Fixes. Zu den weiteren aufgedeckten Sicherheitsrisiken zählen der breite Einsatz von veralteten Open-Source-Komponenten in kommerzieller Software (in 85% aller Codebases mit Open-Source-Komponenten) sowie unterschiedliche Formen von Open-Source-Lizenzkonflikten (in über 90% aller Codebases mit Open-Source-Komponenten).

Der komplette Report ist auf der Synopsis-Website downloadbar.