Open-Source-Report von Black Duck

Wie verbreitet ist Open-Source-Code?

| Autor: Stephan Augsten

96 Prozent aller bei Black Duck Audits gescannten Applikationen enthielten Open-Source-Komponenten.
96 Prozent aller bei Black Duck Audits gescannten Applikationen enthielten Open-Source-Komponenten. (Bild: Black Duck by Synopsys)

Welche Open-Source-Komponenten sind bei Entwicklern besonders beliebt und wie viele Development-Projekte nutzen quelloffenen Code? Im „2018 Open Source Security and Risk Analysis Report“ von Synopsys finden sich einige interessante Zahlen.

Als Teil des Audit-Services-Team von Synopsys erhält Black Duck einen tiefen Einblick in die Code-Basis verschiedenster Software-Projekte. Im Ergebnis steht unter anderem eine Stückliste (Bill of Materials, BoM) aller verwendeten Open-Source-Komponenten. Der darauf basierende Open-Source-Security-Report erlaubt fernab der Sicherheitsaspekte weitere interessante Einblicke in Code-Basen und die Präferenzen der Entwickler.

Bei den letztjährigen Audits wurden demnach in 96 Prozent aller gescannten Anwendungen Open-Source-Komponenten gefunden, das entspricht in etwa dem Wert des Jahres 2016. Im gleichen Zeitraum ist allerdings der der durchschnittliche Open-Source-Anteil pro untersuchter Applikation, nämlich von 36 auf nunmehr 57 Prozent. Viele Anwendungen enthalten somit mehr quelloffenen denn proprietären Code.

Im Durchschnitt wurden im Jahr 2017 pro Code-Basis 257 Open-Source-Komponenten identifiziert. Einige dieser Komponenten sind dabei besonders häufig anzutreffen. Spuren des Bootstrap-Frameworks wurden beispielsweise in 40 Prozent aller gescannten Anwendungen gefunden. Dicht dahinter folgen quelloffene Bestandteile von jQuery, die sich 36 Prozent der Anwendungen fanden.

Bei den branchenübergreifenden Komponenten war laut Black Duck die Verbreitung der JavaScript-Bibliothek Lodash, die Utility-Funktionen für Programmieraufgaben bereitstellt, besonders bemerkenswert. Lodash trat in den Bereichen Gesundheitswesen, IoT, Internet, Marketing, eCommerce und Telekommunikation als häufigste Code-Komponente zutage.

Im Report betont Black Duck übrigens, dass quelloffener Code zunächst einmal weder mehr noch weniger sicher ist als proprietärer Code. Bestimmte Eigenschaften von Open Source machten die Schwachstellen in populären Komponenten aber sehr attraktiv für Angreifer.

  • Verbreitung: Open Source findet sich in vielen kommerziellen und internen Anwendungen.
  • Offenheit: Da der Code für jeden einsehbar ist, können Angriffe zielgerichtet erfolgen.
  • Transparenz: Schwachstellen und mögliche Exploits werden regelmäßig über Quellen wie die National Vulnerability Database (NVD), Mailinglisten und Projekt-Homepages veröffentlicht. Für eine schnelle Reaktion auf diese Probleme ist diese Transparenz allerdings auch unabdingbar.
  • Code-Aktualisierungen: Das Pull-Support-Modell für Updates sorgt dafür, dass die Code-Basis nicht selbständig auf den neuesten Stand gebracht wird.
  • Streuung: Vom Drittanbieter-Tool über externe Development-Teams bis hin zu den eigenen Entwicklern: Open-Source-Code kennt viele Verbreitungswege und erfordert demnach eine umfassende Inventarisierung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45334134 / Coding & Collaboration)