Synopsys-Umfrage zu Umgang mit Open-Source-Komponenten Wie weit sind DevSecOps-Strategien gediehen?

Redakteur: Stephan Augsten

Bei der Software-Entwicklung und -Bereitstellung ist laut einer Synopsys-Studie ein klarer Trend hin zu DevSecOps-Methoden zu erkennen. Fast zwei Drittel der Befragten haben demnach bereits erste Praktiken in ihre Pipelines integriert.

Firmen zum Thema

Wie wichtig DevSecOps-Methoden und Open-Source-Management für Unternehmen sind, wollte Synopsys im Rahmen einer Umfrage herausfinden.
Wie wichtig DevSecOps-Methoden und Open-Source-Management für Unternehmen sind, wollte Synopsys im Rahmen einer Umfrage herausfinden.
(Bild: Synopsys)

DevSecOps beschreibt das Bestreben danach, Sicherheit in jede Phase der DevOps-Pipeline zu integrieren. Wie weit dieser Trend gediehen ist, wollte das Synopsys Cybersecurity Research Center (CyRC) in Zusammenarbeit mit Censuswide herausfinden. Hierfür wurden im August 2020 weltweit 1.500 IT-Fachleute befragt, die Teilnehmer stammten aus den Vereinigten Staaten, Großbritannien, Finnland, Deutschland, China, Singapur und Japan mit jeweils mindestens 50 Befragten.

Die Umfrage befasste sich vorrangig mit jenen Tools, mit denen die Unternehmen das Open-Source-Management in ihre DevOps-Prozesse integrieren. Weiterhin wurden die Umfrageteilnehmer dazu befragt, wie sie Compliance-Anforderungen mit Blick auf Open-Source-Lizenzen erfüllen und wie sie Schwachstellen sowie älteren Open Source-Komponenten in kommerziellem Code begegnen.

 

Insgesamt 63 Prozent der Befragten geben an, bereits ein gewisses Maß an DevSecOps-Aktivitäten in ihre Softwareentwicklungs-Pipeline zu integrieren. Ein einheitliches Toolset war aber nicht zu erkennen, selbst die mit der höchsten Verbreitung gesegneten Web-Application Firewalls werden lediglich von weniger als der Hälfte der Befragten genutzt. 37 Prozent der befragten Unternehmen verwenden Tools zur Software-Composition-Analyse (SCA).

Fast drei Viertel, genauer gesagt 72 Prozent der befragten Unternehmen gaben dennoch an, über eine Open-Source-Richtlinie zu verfügen. Ob sie dabei auf manuelle Prozesse setzen oder sich auf einen „Ehrenkodex der Entwickler“ verlassen, dass diese die Richtlinien tatsächlich einhalten, darüber kann Synopsys nur spekulieren.

Probleme mit Security-Patches und Langzeit-Unterstützung

Zwar steht die Open Source-Sicherheit laut Synopsys im Vordergrund, aber das Patchen von Schwachstellen dauert: Gut die Hälfte der Befragten (51 Prozent) gab an, es dauere zwei bis drei Wochen, bis ihr Unternehmen einen Open-Source-Patch installiert habe. 24 Prozent räumten ein, dass es bis zu einem Monat dauern könne – selbst dann, wenn der Patch ein kritisches Problem behebt.

Die Nachhaltigkeit von Open-Source-Projekten stellt die Unternehmen offenbar zunehmend vor Probleme: 47 Prozent der befragten Unternehmen definieren zwar Standards für das Alter verwendeter Open Source-Komponenten. Von den mehr als 1.200 Codebases, die im Rahmen des OSSRA-Bericht von 2020 untersucht wurden, beinhalteten aber 88 Prozent Open-Source-Komponenten, die seit zwei Jahren nicht mehr gepflegt würden.

Weitere Informationen zum Report „DevSecOps Practices and Open Source Management 2020“ auf der Synopsys-Webseite.

(ID:47025086)