12% mehr kritische Fälle im Jahresvergleich Zahl der Compliance-Verstöße und Schwachstellen in Open Source Software steigt

Quelle: Pressemitteilung

Die Auswertung des aktuellen „State of the Software Supply Chain Reports“ von Revenera hat einen drastischen Anstieg an qualitativen Mängeln und Compliance-Verstößen bei Verwendung von Open Source Software festgestellt. Analysiert wurden Daten aus über 100 Audits, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.

Anbieter zum Thema

Der State of the Software Supply Chain Report 2022 hat im Vergleich zum Vorjahr einen drastischen Anstieg kritischer Fälle bei der Verwendung von Open Source Software festgestellt. Dabei handelt es sich überwiegend um Compliance-Verstöße oder Schwachstellen in der Security.
Der State of the Software Supply Chain Report 2022 hat im Vergleich zum Vorjahr einen drastischen Anstieg kritischer Fälle bei der Verwendung von Open Source Software festgestellt. Dabei handelt es sich überwiegend um Compliance-Verstöße oder Schwachstellen in der Security.
(Bild: Revenera)

Für die branchenübergreifende Studie wertete Revenera mehr als 2,6 Milliarden Codezeilen aus. Dabei entdeckten die Audit-Teams insgesamt 230.000 kritische Fälle. Durchschnittlich stießen die Analysten alle 11.500 Codezeilen auf einen Compliance-Verstoß, eine Sicherheitsschwachstelle oder Ähnliches. Pro Audit kommen so im Schnitt 2.200 kritische Fälle ans Licht. Im Vergleich zum Vorjahr (1.959) stieg die Zahl potentieller Risiken um 12%.

83% der in den Audits aufgedeckten Risiken war den Unternehmen im Vorfeld der Untersuchung nicht bekannt. Ein häufiger Grund für die Betriebsblindheit in Sachen OSS ist das Fehlen von Software Composition Analyse (SCA)-Tools, die Anwendungen auf Codeebene scannen und Compliance-Verstöße sowie Sicherheitslücken automatisch melden.

Die wichtigsten Ergebnisse im Überblick

Die Zahl der als kritischer Compliance-Risiken (Prioritätsstufe 1) eingestufter Vorfälle wuchs mit 9.500 um 6% (Vorjahr: 9.000). Einen deutlichen Sprung verzeichnete das Audit-Team von Revenera bei Vorfällen der Prioritätsstufe 2 (z. B. sekundäre Probleme mit kommerziellen Lizenzen) und Prioritätsstufe 3 (z. B. Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.) Hier nahm die Zahl jeweils um 50% bzw. 34% zu. Der Anstieg deutet auf eine zunehmende Verbreitung von OSS in Anwendungen und damit auf ein wachsendes Risiko für unterschiedlichste Branchen hin.

Die Zahl der Sicherheitslücken auf Codeebene hat sich im Vergleich zum Vorjahr mehr als verdreifacht. Die Revenera-Analysten identifizierten pro Audit durchschnittlich 282 Schwachstellen, ein Anstieg von 217% (Vorjahr: 89). Von den aufgedeckten Schwachstellen stellten 27% ein „hohes“ CVSS-Risiko dar (Common Vulnerability Scoring System) und damit eine unmittelbare Bedrohung für IT-Sicherheit und Cyberschutz.

Der Anteil von Binärdateien in einer typischen Anwendungscodebasis nahm um 7% weiter zu. Insgesamt stießen die Analysten auf insgesamt 343.000 Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen. Damit steigt auch die Komplexität des Software-Codes, da automatisch mehr Abhängigkeiten in die Codebasis gelangen.

Angesichts der wachsende Komplexität von Software-Code rechnet Revenera in den nächsten Jahren mit einer wachsenden Verbreitung von SCA-Lösungen und Prozessen in Unternehmen – zumal sich auch die regulatorischen Rahmenbedingungen entlang der Software Supply Chain zunehmend verschärfen.

Erst 2021 legte die USA mit einer Executive Order (EO) neue Cybersecurity-Anforderungen fest. Demnach müssen Software-Anbieter eine Software Bill of Materials (SBOM) bereitstellen und automatisierte Tools und Prozesse zur Überprüfung der Code-Integrität implementieren. Die EU-Kommission geht mit ihrer Open-Source-Software-Strategie 2020-2023 in eine ähnliche Richtung. Standardformate wie SPDX (Software Package Data Exchange), CycloneDX und SWID (SoftWare IDentification) sollen helfen, Informationen entlang der Lieferketten weiterzugeben und die Erstellung der SBOM zu vereinheitlichen.

„Schwachstellen wie Log4Shell haben klar gezeigt, dass die Software Supply Chain besser geschützt werden muss. Nur so sind wir für die Welle an Cyberangriffen in den nächsten Jahren gewappnet“, erklärt Alex Rybak, Director Product Management bei Revenera. „Der Umfang von Open-Source- und Drittanbieter-Komponenten wächst und wächst. Unternehmen brauchen hier branchenweite Standards und sollten sowohl in interne Compliance-Programme als auch in entsprechende SCA-Lösungen investieren, um auf Anfragen ihrer Kunden schnell zu reagieren und Risiken zuverlässig zu entschärfen.“

Der vollständige Report „Revenera 2022 State of the Software Supply Chain Report” steht nach erfolgter Registrierung bei Revenera kostenlos zum Download bereit.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47999178)