Black Duck Open Source Audits von mehr als 1000 Anwendungen zeigen weit verbreitete Schwäche im Umgang mit Open-Source-Sicherheits-Risiken

Open-Source-Sicherheits- und Risikoanalyse ergab branchenübergreifende Ineffizienz; Einzelhandels-, E-Commerce- und FinTech-Audits wiesen das höchste Risiko für Open-Source-Schwachstellen auf

Burlington, MA, (PresseBox) - Black Duck, weltweit führender Anbieter von automatisierten Lösungen für die Sicherung und Verwaltung von Open Source-Software, hat heute die Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 veröffentlicht. Dieser Report zeigt ausführlich signifikante und branchenübergreifende Risiken im Zusammenhang mit Open-Source-Schwachstellen sowie Lizenz-Compliance-Herausforderungen auf.

Black Duck führt jährlich Hunderte von Open-Source-Code-Audits durch, die primär mit Fusions- und Übernahme-Transaktionen zusammenhängen. Das Center for Open Source Research & Innovation (COSRI) von Black Duck analysierte 1.071 der im Jahr 2016 geprüften Applikationen und fand sowohl ein hohes Maß an Open-Source-Nutzung – 96 % der-Apps enthielten Open Source – als auch ein signifikantes Risiko für Schwachstellen – mehr als 60 % der Apps enthielten Open-Source-Sicherheitslücken.

Auffallend war, dass die Prüfungsergebnisse von Anwendungen aus der Finanzbranche 52 Open-Source-Schwachstellen pro Anwendung enthielten, und 60 % der Anwendungen wiesen Hoch-Risiko-Schwachstellen auf. Die Einzelhandels- und E-Commerce-Branche verzeichnete den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen, wobei 83% ihrer geprüften Anwendungen Hoch-Risiko-Sicherheitslücken hatten.

Open-Source-Lizenzkonflikte waren weit verbreitet. Die untersuchten Anwendungen enthielten durchschnittlich 147 Open-Source-Komponenten –eine gewaltige Anzahl von Lizenzverpflichtungen die es nachzuvollziehen gilt – und tatsächlich enthielten 85 % der untersuchten Anwendungen Komponenten mit Lizenzproblemen. Am häufigsten waren es GNU General Public License (GPL)-Probleme. Obwohl 75 % der Anwendungen Komponenten der GPL-Lizenz-Familie enthielten, hielten nur 45 % dieser Anwendungen die GPL-Vorgaben ein.

„Open Source Nutzung ist weltweit allgegenwärtig, und jüngste Forschungsberichte zeigen, dass zwischen 80 % und 90 % des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung. Unsere Audit-Ergebnisse bestätigen diesen universellen Nutzen, offenbaren aber auch ein beunruhigendes Niveau von Ineffektivität, wenn es um die Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht ", so Black Duck CEO Lou Shipley.

Shipley sagte, er würde erwarten, dass die Open Source-Audit-Ergebnisse Führungskräften im Bereich Security die Augen öffnen, weil die Anwendungsschicht ein primäres Ziel für Hacker ist. „Exploits von Open-Source-Schwachstellen sind das größte Anwendungssicherheits-Risiko, das die meisten Unternehmen haben" sagte Shipley.

„Die Lektüre dieses Reports sollte ein Weckruf sein. Alle nutzen jede Menge Open Source, aber wie die Audits zeigen, machen nur wenige einen adäquaten Job, wenn es um das Auffinden, Beseitigen und Überwachen von Open-Source-Schwachstellen in ihren Anwendungen geht“, so Chris Fearon, Director der Black Duck Open Source Security Research Group, dem Sicherheitsforschungszweig des COSRI mit Sitz in Nordirland. „Die COSRI-Analyse der Audits zeigt deutlich, dass Organisationen in jeder Branche einen weiten Weg vor sich haben, bevor sie effektiv darin sind, ihren Open-Source-Code zu managen."

Die OSSRA-Analyse steht hier zum Download bereit: https://www.blackducksoftware.com/open-source-security-risk-analysis-2017. Eine deutschsprachige Fassung kann auf Anfrage zur Verfügung gestellt werden.

Black Duck

Organisationen weltweit nutzen die branchenführenden Produkte von Black Duck Software, um den Prozess der Sicherung und Verwaltung von Open Source Software zu automatisieren. Security-Schwachstellen, Lizenz-Compliance- sowie operationelle Risiken werden so für die Unternehmen beseitigt. Black Duck hat seinen Hauptsitz in Burlington, Massachusetts; mit Niederlassungen in San Jose, Kalifornien; Vancouver, London, Belfast, Frankfurt, Hong Kong, Tokio, Seoul und Peking. Weitere Informationen finden Sie unter https://www.blackducksoftware.com/...

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Sicherheit":

LPWAN-Sicherheit in der Fertigungs- und Verarbeitungsindustrie

Ein Low-Po­wer-Wi­de-Area-Netz­werk mit in­tel­li­gent ver­netz­ten Sen­so­ren und Da­ten eig­net sich bes­tens für die In­du­s­trie. Vor­aus­ge­setzt, die Si­cher­heit­sa­spek­te wer­den ein­ge­hal­ten.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.