Synopsys hat im Rahmen einer Studie mehr als 1.250 kommerzielle Anwendungen unter die Lupe genommen. Das Ergebnis: Ein Großteil enthält Open-Source-Komponenten, die veraltet sind oder nicht mehr gepflegt werden.
Synopsys hat seine diesjährige OSSRA-Studie vorgelegt.
(Bild: Synopsys)
Der „2020 Open Source Security and Risiko Analysis Report“ (OSSRA) von Synopsys basiert auf der Analyse kommerzieller Codebases. Für die Durchführung war das Black-Duck-Audit-Services-Team verantwortlich. Die Studie dreht sich um Trends und Muster der Open-Source-Nutzung innerhalb kommerzieller Anwendungen und soll Unternehmen dabei helfen, diesbezügliche Risiken in Hinblick auf Sicherheit, Lizenzkonformität und Betrieb besser zu bewältigen.
Open Source spielt laut dem Bericht nach wie vor eine entscheidende Rolle im derzeitigen Software-Ökosystem – praktisch alle (99 Prozent) geprüften Codebases enthalten mindestens eine quelloffene Komponente. Allerdings: 91 Prozent der Anwendungen enthalten auch Open-Source-Anteile, die seit über vier Jahren veraltet sind oder in den vergangenen beiden Jahren nicht mehr weiterentwickelt wurden. 75 Prozent der Codebases enthalten demnach Open-Source-Komponenten mit bekannten Sicherheitslücken, 49 Prozent sogar mit hochriskanten Schwachstellen.
Geistiges Eigentum gefährdet
Der OSSRA zeigt außerdem, dass Konflikte um Open-Source-Lizenzen immer noch geistiges Eigentum gefährden. Laut der Studie bergen 68 Prozent der Codebases irgendeine Form von Open-Source-Lizenzkonflikten. 33 Prozent enthalten quelloffene Bestandteile ohne identifizierbare Lizenz. Besonders betroffen sind davon Internet- und Mobile-Apps (93 Prozent), am wenigsten fiel dies bei Anwendungen der Kategorie Virtual Reality, Gaming, Unterhaltung und Medien (59 Prozent) ins Gewicht.
„Es wird leicht übersehen, wie Open Source sich hinsichtlich der Sicherheit und der Einhaltung von Lizenzbestimmungen auf die Risikosituation innerhalb einer Anwendung auswirkt. Der OSSRA-Bericht 2020 bestätigt, wie Organisationen weiterhin darum ringen, Open-Source-Risiken effektiv nachzuverfolgen und zu managen“, erklärt Tim Mackey, Principal Security Strategist des Cybersecurity Research Centers von Synopsys. Um Anwendungsrisiken auf mehreren Ebenen angehen zu können, sei eine genaue Bestandsaufnahme der Softwarekomponenten von Drittanbietern einschließlich der Open-Source-Abhängigkeiten erforderlich.
(ID:46597643)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.