Suchen

Open-Source-Komponenten in fast allen Applikationen

| Autor / Redakteur: Martin Hensel / Stephan Augsten

Synopsys hat im Rahmen einer Studie mehr als 1.250 kommerzielle Anwendungen unter die Lupe genommen. Das Ergebnis: Ein Großteil enthält Open-Source-Komponenten, die veraltet sind oder nicht mehr gepflegt werden.

Firmen zum Thema

Synopsys hat seine diesjährige OSSRA-Studie vorgelegt.
Synopsys hat seine diesjährige OSSRA-Studie vorgelegt.
(Bild: Synopsys)

Der „2020 Open Source Security and Risiko Analysis Report“ (OSSRA) von Synopsys basiert auf der Analyse kommerzieller Codebases. Für die Durchführung war das Black-Duck-Audit-Services-Team verantwortlich. Die Studie dreht sich um Trends und Muster der Open-Source-Nutzung innerhalb kommerzieller Anwendungen und soll Unternehmen dabei helfen, diesbezügliche Risiken in Hinblick auf Sicherheit, Lizenzkonformität und Betrieb besser zu bewältigen.

Open Source spielt laut dem Bericht nach wie vor eine entscheidende Rolle im derzeitigen Software-Ökosystem – praktisch alle (99 Prozent) geprüften Codebases enthalten mindestens eine quelloffene Komponente. Allerdings: 91 Prozent der Anwendungen enthalten auch Open-Source-Anteile, die seit über vier Jahren veraltet sind oder in den vergangenen beiden Jahren nicht mehr weiterentwickelt wurden. 75 Prozent der Codebases enthalten demnach Open-Source-Komponenten mit bekannten Sicherheitslücken, 49 Prozent sogar mit hochriskanten Schwachstellen.

Geistiges Eigentum gefährdet

Der OSSRA zeigt außerdem, dass Konflikte um Open-Source-Lizenzen immer noch geistiges Eigentum gefährden. Laut der Studie bergen 68 Prozent der Codebases irgendeine Form von Open-Source-Lizenzkonflikten. 33 Prozent enthalten quelloffene Bestandteile ohne identifizierbare Lizenz. Besonders betroffen sind davon Internet- und Mobile-Apps (93 Prozent), am wenigsten fiel dies bei Anwendungen der Kategorie Virtual Reality, Gaming, Unterhaltung und Medien (59 Prozent) ins Gewicht.

„Es wird leicht übersehen, wie Open Source sich hinsichtlich der Sicherheit und der Einhaltung von Lizenzbestimmungen auf die Risikosituation innerhalb einer Anwendung auswirkt. Der OSSRA-Bericht 2020 bestätigt, wie Organisationen weiterhin darum ringen, Open-Source-Risiken effektiv nachzuverfolgen und zu managen“, erklärt Tim Mackey, Principal Security Strategist des Cybersecurity Research Centers von Synopsys. Um Anwendungsrisiken auf mehreren Ebenen angehen zu können, sei eine genaue Bestandsaufnahme der Softwarekomponenten von Drittanbietern einschließlich der Open-Source-Abhängigkeiten erforderlich.

Dieser Beitrag stammt von unserem Partnerportal Dev-Insider.de.

(ID:46639933)