Suchen

Flexera beziffert Compliance- und Sicherheitsprobleme Status der Open-Source-Lizenzierung

Redakteur: Stephan Augsten

Die Zahl der Open-Source-Komponenten, die Entwickler in den eigenen Code einbinden, nimmt stetig zu. Doch damit kommt es auch häufiger zu Compliance-Verstößen und weitervererbten Sicherheitslücken, warnt Flexera im „State of Open Source License Compliance“-Report.

Firma zum Thema

17 Prozent der Lizenzverstöße stellen ein unmittelbares Risiko dar und erfordern ein schnelles Eingreifen.
17 Prozent der Lizenzverstöße stellen ein unmittelbares Risiko dar und erfordern ein schnelles Eingreifen.
(Bild: Flexera)

Das Unternehmen Flexera befasst sich mit der Software Composition Analysis und besitzt deswegen einen guten Einblick in die Code-Zusammensetzung. Um undokumentierte Open-Source-Software in Unternehmen und somit potenzielle Compliance- und Sicherheits-Risiken zu identifizieren, nahm das Unternehmen die Daten aus weltweit 121 Audits genauer unter die Lupe.

Insgesamt wertete Flexera mehr als 2,6 Milliarden Codezeilen aus. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Die Ergebnisse präsentiert das Unternehmen im aktuellen Statusreport zur Open-Source-Lizenzierung.

Nach eigenen Angaben identifizierte Flexera dabei insgesamt 80.157 kritische Vorfälle. Das entspricht im Schnitt einem Vorfall alle 32.600 Codezeilen oder auch 662 sicherheitsrelevanten Ereignissen pro Audit, eine Steigerung von 80 Prozent gegenüber dem Vorjahr. Der Anstieg sei unter anderem auf die Anzahl der verwendeten Node.js-Pakete aus NPM-Modulen zurückzuführen. Dieser Trend dürfte sich auch im Jahr 2020 fortsetzen.

Mit Blick auf die Compliance kommt Flexera zu dem Schluss, dass Unternehmen die Nutzung von Open-Source-Komponenten falsch einschätzen: 45 Prozent der in den Audits untersuchten Codebasis sei auf quelloffene Projekte zurückzuführen gewesen, doch gerade einmal ein Prozent sei den Unternehmen vor dem Audit bekannt gewesen.

Kritische Lizenzverstöße und Sicherheitslücken

Rund 17 Prozent der Lizenzverstöße wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft. Dazu gehören unter anderem schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL betreffen. Weitere fünf Prozent der entdeckten Fälle fielen unter Prioritätsstufe 2, also z. B. sekundäre Probleme mit kommerziellen Lizenzen. 76 Prozent der Ergebnisse entsprachen der Prioritätsstufe 3, darunter risikoarme Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.

Als Hauptursache für die Probleme nennt Flexera das Fehlen automatisierter Scan- und Monitoring-Prozesse. Baseline-Audits und Fast Scans lieferten nur unzureichende Ergebnisse, was sich auch in der Identifizierung von Schwachstellen widerspiegelt: Bei der Auswertung von 91 forensischen und Standard-Audits identifizierte Flexera im Schnitt 45 Schwachstellen je Audit, 45 Prozent davon stellen nach dem Common Vulnerability Scoring System mindestens ein hohes Risiko dar..

Brent Pietrzak, SVP und General Manager bei Flexera, weiß um die positiven Effekte der Open-Source-Nutzung, wirbt aber für eine umfassende Management-Strategie: „Open Source birgt nicht automatisch mehr Risiken als proprietärer Code.“ Fehle es jedoch an der richtigen Dokumentation und Verwaltung, könne Open Source schnell zum Sicherheitsrisiko werden.

Den vollständigen „The 2020 License Compliance Report“ finden Interessierte nach Registrierung auf der Website von Flexera Software.

(ID:46385840)