2021 Open Source License Compliance Report von Revenera Schwachstellen und Lizenzverstöße bei Open-Source-Nutzung

Redakteur: Stephan Augsten

Wie viele Schwachstellen und Lizenzverstöße verbergen sich in den von Unternehmen verwendeten Open-Source-Komponenten? Dieser Frage geht der jährliche „State of Open Source License Compliance“-Report von Revenera nach.

Firmen zum Thema

Revenera hat die Zahl der Schwachstellen und Lizenzverstöße bei der Open-Source-Code-Nutzung untersucht.
Revenera hat die Zahl der Schwachstellen und Lizenzverstöße bei der Open-Source-Code-Nutzung untersucht.
(© WrightStudio - stock.adobe.com)

Dank umfassender Compliance- und Security-Audits im Rahmen der „Software Composition Analysis“ hat Revenera eine beachtliche Datenbasis zusammengetragen: Die Audit-Teams werteten mehr als 1,2 Milliarden Codezeilen aus und stießen dabei auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit Open-Source-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsanfälligkeit.

Die Ergebnisse hat Revenera im Report „State of Open Source License Compliance“ zusammengefasst. Im Durchschnitt entdeckten die Analysten demnach 1.959 kritische Fälle bei jedem Audit, fast dreimal mehr als noch im Jahr 2019 (662). Der Anstieg sei unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, die automatisch mehr Abhängigkeiten in die Codebasis einbrächten.

Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten mit durchschnittlich 89 Schwachstellen pro Audit etwa doppelt so viele Anfälligkeiten wie 2019. Davon bargen 46 Prozent nach dem Common Vulnerability Scoring System mindestens ein „hohes“ CVSS-Risiko dar.

Hinsichtlich der Compliance bei Open-Source-Nutzung tun sich Unternehmen offenbar schwer, die tatsächliche Verwendung zu überblicken. Vor Beginn des Auditprozesses waren demnach gerade einmal vier Prozent der quelloffenen Komponenten bekannt. Insgesamt gingen 55 Prozent der untersuchten Codebasis auf Open Source zurück, zehn Prozentpunkte mehr als noch 2019.

Lizenzverstöße sind somit kaum abzuwenden, insgesamt fand das Revenera Audit-Team über 9.000 Compliance-Risiken der Prioritätsstufe 1 (P1). Diese Fälle stellen nach Revenera-Bewertung ein unmittelbares Risiko dar und erfordern ein schnelles Eingreifen. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.

Revenera warnt dementsprechend vor der Fehleinschätzung, ein Copyleft mit „freier Software” gleichzusetzen. Das Copyleft verpflichtet den Lizenznehmer, den neuen Code bei Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gelte nicht nur für Strong Copyleft, sondern unter Umständen auch für das eingeschränkte, sprich Weak Copyleft. Ganze 12 bzw. 20 Prozent der untersuchten Codebasis unterlagen Strong- bzw. Weak-Copyleft-Bedingungen.

Weitere Ergebnisse finden Interessierte im 2021 Open Source License Compliance Report (registrierungspflichtig).

(ID:47104843)