Black Duck Open Source Audits von mehr als 1000 Anwendungen zeigen weit verbreitete Schwäche im Umgang mit Open-Source-Sicherheits-Risiken

Open-Source-Sicherheits- und Risikoanalyse ergab branchenübergreifende Ineffizienz; Einzelhandels-, E-Commerce- und FinTech-Audits wiesen das höchste Risiko für Open-Source-Schwachstellen auf

(PresseBox) ( Burlington, MA, )
Black Duck, weltweit führender Anbieter von automatisierten Lösungen für die Sicherung und Verwaltung von Open Source-Software, hat heute die Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 veröffentlicht. Dieser Report zeigt ausführlich signifikante und branchenübergreifende Risiken im Zusammenhang mit Open-Source-Schwachstellen sowie Lizenz-Compliance-Herausforderungen auf.

Black Duck führt jährlich Hunderte von Open-Source-Code-Audits durch, die primär mit Fusions- und Übernahme-Transaktionen zusammenhängen. Das Center for Open Source Research & Innovation (COSRI) von Black Duck analysierte 1.071 der im Jahr 2016 geprüften Applikationen und fand sowohl ein hohes Maß an Open-Source-Nutzung – 96 % der-Apps enthielten Open Source – als auch ein signifikantes Risiko für Schwachstellen – mehr als 60 % der Apps enthielten Open-Source-Sicherheitslücken.

Auffallend war, dass die Prüfungsergebnisse von Anwendungen aus der Finanzbranche 52 Open-Source-Schwachstellen pro Anwendung enthielten, und 60 % der Anwendungen wiesen Hoch-Risiko-Schwachstellen auf. Die Einzelhandels- und E-Commerce-Branche verzeichnete den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen, wobei 83% ihrer geprüften Anwendungen Hoch-Risiko-Sicherheitslücken hatten.

Open-Source-Lizenzkonflikte waren weit verbreitet. Die untersuchten Anwendungen enthielten durchschnittlich 147 Open-Source-Komponenten –eine gewaltige Anzahl von Lizenzverpflichtungen die es nachzuvollziehen gilt – und tatsächlich enthielten 85 % der untersuchten Anwendungen Komponenten mit Lizenzproblemen. Am häufigsten waren es GNU General Public License (GPL)-Probleme. Obwohl 75 % der Anwendungen Komponenten der GPL-Lizenz-Familie enthielten, hielten nur 45 % dieser Anwendungen die GPL-Vorgaben ein.

„Open Source Nutzung ist weltweit allgegenwärtig, und jüngste Forschungsberichte zeigen, dass zwischen 80 % und 90 % des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung. Unsere Audit-Ergebnisse bestätigen diesen universellen Nutzen, offenbaren aber auch ein beunruhigendes Niveau von Ineffektivität, wenn es um die Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht ", so Black Duck CEO Lou Shipley.

Shipley sagte, er würde erwarten, dass die Open Source-Audit-Ergebnisse Führungskräften im Bereich Security die Augen öffnen, weil die Anwendungsschicht ein primäres Ziel für Hacker ist. „Exploits von Open-Source-Schwachstellen sind das größte Anwendungssicherheits-Risiko, das die meisten Unternehmen haben" sagte Shipley.

„Die Lektüre dieses Reports sollte ein Weckruf sein. Alle nutzen jede Menge Open Source, aber wie die Audits zeigen, machen nur wenige einen adäquaten Job, wenn es um das Auffinden, Beseitigen und Überwachen von Open-Source-Schwachstellen in ihren Anwendungen geht“, so Chris Fearon, Director der Black Duck Open Source Security Research Group, dem Sicherheitsforschungszweig des COSRI mit Sitz in Nordirland. „Die COSRI-Analyse der Audits zeigt deutlich, dass Organisationen in jeder Branche einen weiten Weg vor sich haben, bevor sie effektiv darin sind, ihren Open-Source-Code zu managen."

Die OSSRA-Analyse steht hier zum Download bereit: https://www.blackducksoftware.com/open-source-security-risk-analysis-2017. Eine deutschsprachige Fassung kann auf Anfrage zur Verfügung gestellt werden.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.