Open Source Software

Weniger Schwachstellen und Risiken, aber selten aktuell

13. April 2022, 11:44 Uhr | Harry Schubert
Bericht »Open Source Security and Risk Analysis (OSSRA) 2022« von Synopsys.
© Synopsys

In einer Studie hat Synopsys 2409 kommerzielle und proprietäre Codebasen analysiert. Im Ergebnisbericht wird zwar ein Rückgang der Risiken registriert, die Mehrzahl der Unternehmen kann Open Source Software aber nicht aktuell halten.

Der Open Source Security and Risk Analysis (OSSRA) 2022 Bericht wurde vom Synopsys Cybersecurity Research Center (CyRC) erstellt. Das Black Duck Audit Services Team von Synopsys führte dazu 2.409 Audits kommerzieller und proprietärer Codebasen im Rahmen von Fusionen und Übernahme-Transaktionen durch. Der Bericht hebt Trends bei der Nutzung von Open Source Software in kommerziellen und proprietären Anwendungen hervor. Gleichzeitig liefert er Einblicke, um das verzahnte Software-Wirtschaftsökosystem besser zu verstehen, und er erörtert die allgegenwärtigen Risiken im Detail, die von unzureichend verwalteten Open-Source-Software-Komponenten ausgehen. Einschließlich von Sicherheitslücken, veralteten oder verwaisten Software-Komponenten und Problemen bei der Einhaltung von Lizenzbestimmungen.

Der OSSRA-Bericht für 2022 bestätigt, dass Open Source Software nahezu überall und in jeder Branche eingesetzt wird und die Grundlage für jede heutzutage entwickelte Anwendung bildet. Die vier wichtigsten Erkenntnisse des aktuellen Berichts sind:

  • Veraltete Open Source Software ist nach wie vor die Norm – einschließlich anfälliger Log4j-Versionen. Aus der Perspektive betrieblicher Risiken und der notwendigen Wartung betrachtet, enthalten 85 Prozent der 2.097 auf Sicherheitsrisiken untersuchten Codebasen Open-Source-Software-Komponenten, die seit mehr als vier Jahren veraltet sind. 88 Prozent der verwendeten Software-Komponenten entsprechen nicht der neuesten verfügbaren Version. Fünf Prozent enthalten eine anfällige Version von Log4j.
  • Die analysierten Codebasen zeigen, dass Open-Source-Schwachstellen insgesamt abnehmen. 2.097 der 2.409 Codebasen wurden in einer Risikoanalyse auf Sicherheit und Betriebsrisiko bewertet. Deutlich zurückgegangen ist die Zahl der Codebasen mit hochriskanten Schwachstellen in Open Source Software. 49 Prozent der in diesem Jahr überprüften Codebasen enthalten mindestens eine hochriskante Schwachstelle in Open Source Software, verglichen mit 60 Prozent im Vorjahr. Darüber hinaus weisen 81 Prozent der überprüften Codebasen mindestens eine bekannte Schwachstelle in Open Source Software auf. Das entspricht einem minimalen Rückgang von drei Prozent gegenüber den Resultaten des OSSRA-Berichts von 2021.
  • Lizenzkonflikte sind insgesamt rückläufig. Mehr als die Hälfte, 53 Prozent, der Codebasen weisen Lizenzkonflikte auf. Das ist ein deutlicher Rückgang, im Vergleich zu 2020 mit 65 Prozent. Spezifische Lizenzkonflikte sind zwischen 2020 und 2021 rückläufig.
  • 20 Prozent der untersuchten Codebasen enthalten Open-Source-Software-Komponenten ohne oder mit einer angepassten Lizenz. Lizenzen regeln die mit der Nutzung einer Software verbundenen Rechte. Verwendet man Software ohne Lizenz, wirft das die kritische Frage auf, ob mit der Nutzung ein juristisches Risiko verbunden ist. Darüber hinaus führen angepasste Open-Source-Lizenzen bisweilen zu unerwünschten Anforderungen an den Lizenznehmer. Häufig benötigen Unternehmen eine juristische Einschätzung hinsichtlich möglicher IP-Probleme oder anderer Auswirkungen.

»Die Nutzer von SCA-Software (Software Composition Analysis) haben sich darauf konzentriert, die mit Open Source verbundenen Lizenzprobleme in den Griff zu bekommen und hochriskante Schwachstellen zu beheben«, erläutert Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Center. »Trotzdem bleibt die Tatsache bestehen, dass über die Hälfte der von uns geprüften Codebasen immer noch Lizenzkonflikte aufweisen und annähernd die Hälfte hochriskante Schwachstellen. Noch beunruhigender ist, dass 88 Prozent der Codebasen (mit Risikobewertung) veraltete Versionen von Open-Source-Komponenten enthalten. Und zwar obwohl ein Update oder Patch bereits verfügbar, aber nicht eingespielt worden ist.«

Tim Mackey weiter: »Es gibt durchaus berechtigte Gründe, warum man Software nicht komplett auf dem neuesten Stand hält. Aber wenn Firmen auf eine präzise und aktuelle Inventarisierung der im Code verwendeten Open-Source-Software verzichten, können veraltete Komponenten in Vergessenheit geraten. Das kann über die Zeit dazu führen, dass sie für eine hochriskante Sicherheitslücke anfällig werden. Und dann gilt es unter Hochdruck herauszufinden, wo die besagte Komponente verwendet wird, um sie aktualisieren zu können. Genau das ist bei Log4j passiert. Deshalb sind Software-Lieferketten und eine Software Bill of Materials (SBOM) zu zentralen Themen geworden.«

Der komplette Bericht »Open Source Security and Risk Analysis (OSSRA) 2022« kann über die Internetseite von Synopsys: www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?cmp=pr-sig&utm_medium=referral abgerufen werden.

Anbieter zum Thema

zu Matchmaker+

Das könnte Sie auch interessieren

Verwandte Artikel

Synopsys