Veröffentlicht am

Kurzbeschreibung des Herausgebers: Bei Open Source Software (OSS) geht es nicht nur darum, dass solche Software kostenlos übernommen werden kann, sondern auch darum, dass freiwillige Programmierer und Prüfer auf der ganzen Welt eine Menge guter Arbeit leisten und gute Software- und Codekomponenten für jedermann entwickeln. Laut dem neuesten OSSRA-Bericht (Open Source Security and Risk Analysis) 2021 des Synopsys Cybersecurity Research Center (CyRC) setzen viele Branchen OSS in großem Umfang ein, darunter Martech, Gesundheitswesen, Finanzdienstleistungen, Fintech, Einzelhandel und E-Commerce. Was sind dann die Risiken bei der Einführung von OSS? Die Version des Anbieters finden Sie weiter unten.

Synopsys-Studie zeigt Uptick in anfälligen, veralteten und verlassenen Open Source-Komponenten in kommerzieller Software 

Die Analyse von mehr als 1,500 kommerziellen Codebasen ergab, dass Open Source-Sicherheits-, Lizenzkonformitäts- und Wartungsprobleme in allen Branchen weit verbreitet sind

SINGAPUR, @mcgallen #microwireinfo, 14. April 2021 - Synopsys, Inc. (Nasdaq: SNPS) heute veröffentlicht die 2021 Open Source Sicherheits- und Risikoanalyse (OSSRA) Bericht. Der Bericht der Synopsys Cybersecurity Research Center (CyRC) untersucht die Ergebnisse von mehr als 1,500 Audits kommerzieller Codebasen, die vom Black Duck® Audit Services-Team durchgeführt wurden. Der Bericht hebt Trends bei der Open Source-Nutzung in kommerziellen Anwendungen hervor und bietet Einblicke, die kommerziellen und Open Source-Entwicklern helfen, das miteinander verbundene Software-Ökosystem, zu dem sie gehören, besser zu verstehen. Außerdem werden die allgegenwärtigen Risiken aufgeführt, die von nicht verwaltetem Open Source ausgehen, einschließlich Sicherheitslücken, veralteten oder aufgegebenen Komponenten und Lizenzkonformitätsproblemen.

Der OSSRA-Bericht 2021 bestätigt, dass Open Source-Software die Grundlage für die überwiegende Mehrheit der Anwendungen in allen Branchen bildet. Dies zeigt auch, dass diese Branchen in unterschiedlichem Maße Schwierigkeiten haben, das Open-Source-Risiko zu steuern.

  • 100% der in der Marketing-Tech-Branche geprüften Unternehmen - einschließlich Lead-Generierungs-CRM und Social Media - enthielten Open Source in ihren Codebasen. 95% der Marketing-Tech-Codebasen enthielten Open-Source-Schwachstellen.
  • 98% der Codebasen des Gesundheitssektors enthielten Open Source. 67% dieser Codebasen enthielten Schwachstellen.
  • 97% der Codebasen des Finanzdienstleistungs- / Fintech-Sektors enthielten Open Source. Über 60% dieser Codebasen enthielten Schwachstellen.
  • 92% der Codebasen im Einzelhandels- und E-Commerce-Sektor enthielten Open Source, und 71% der Codebasen in diesem Sektor enthielten Schwachstellen.

Noch besorgniserregender ist die weit verbreitete Verwendung aufgegebener Open-Source-Komponenten. Alarmierende 91% der Codebasen enthielten Open-Source-Abhängigkeiten, die in den letzten zwei Jahren keine Entwicklungsaktivität hatten - dh keine Codeverbesserungen und keine Sicherheitskorrekturen.

"Dass mehr als 90% der Codebasen in den letzten zwei Jahren Open Source ohne Entwicklungsaktivität verwendeten, ist nicht überraschend", sagte Tim Mackey, Hauptsicherheitsstratege des Synopsys Cybersecurity Research Center. „Im Gegensatz zu kommerzieller Software, bei der Anbieter Informationen an ihre Benutzer weitergeben können, ist Open Source auf das Engagement der Community angewiesen, um erfolgreich zu sein. Wenn eine Open-Source-Komponente ohne dieses Engagement in ein kommerzielles Angebot aufgenommen wird, kann die Projektvitalität leicht nachlassen. Verwaiste Projekte sind kein neues Problem, aber wenn sie auftreten, wird es viel schwieriger, Sicherheitsprobleme anzugehen. Die Lösung ist einfach: Investieren Sie in die Unterstützung der Projekte, auf die Sie für Ihren Erfolg angewiesen sind. “

Weitere im OSSRA-Bericht 2021 identifizierte Open-Source-Risikotrends sind:

  • Veraltete Open-Source-Komponenten in kommerzieller Software sind die Norm. 85% der Codebasen enthielten Open-Source-Abhängigkeiten, die mehr als vier Jahre veraltet waren. Im Gegensatz zu aufgegebenen Projekten verfügen diese veralteten Open Source-Komponenten über aktive Entwicklergemeinschaften, die Updates und Sicherheitspatches veröffentlichen, die von ihren nachgeschalteten kommerziellen Verbrauchern nicht angewendet werden. Abgesehen von den offensichtlichen Auswirkungen der Vernachlässigung der Anwendung von Patches auf die Sicherheit kann die Verwendung veralteter Open Source-Komponenten zu unhandlichen technischen Schulden in Form von Funktions- und Kompatibilitätsproblemen führen, die mit zukünftigen Updates verbunden sind.
  • Die Verbreitung von Open Source-Schwachstellen geht in die falsche Richtung. Im Jahr 2020 stieg der Anteil der Codebasen mit anfälligen Open-Source-Komponenten auf 84% - ein Anstieg von 9% gegenüber 2019. Ebenso stieg der Anteil der Codebasen mit gefährdeten Schwachstellen von 49% auf 60%. Einige der zehn häufigsten Open-Source-Schwachstellen, die 10 in Codebasen gefunden wurden, traten bei den Audits 2019 erneut auf, alle mit signifikanten prozentualen Zuwächsen.
  • Über 90% der geprüften Codebasen enthielten Open Source-Komponenten mit Lizenzkonflikten, benutzerdefinierten Lizenzen oder überhaupt keiner Lizenz. 65% der im Jahr 2020 geprüften Codebasen enthielten Open-Source-Softwarelizenzkonflikte, an denen in der Regel die GNU General Public License beteiligt war. 26% der Codebasen verwendeten Open Source ohne Lizenz oder eine angepasste Lizenz. Alle drei Punkte müssen häufig auf potenzielle Verstöße gegen das geistige Eigentum und andere rechtliche Bedenken untersucht werden, insbesondere im Zusammenhang mit Fusions- und Übernahmetransaktionen.

Laden Sie eine Kopie der Software herunter, um mehr über die potenziellen Risiken von Open Source-Software und deren Behebung zu erfahren OSSRA-Bericht 2021, Lies das Blog-Postoder registrieren Sie sich für den 21. April Webinar.

Informationen zur Synopsys Software Integrity Group

Die Synopsys Software Integrity Group unterstützt Entwicklungsteams bei der Erstellung sicherer, qualitativ hochwertiger Software, minimiert Risiken und maximiert Geschwindigkeit und Produktivität. Synopsys, ein anerkannter Marktführer für Anwendungssicherheit, bietet Lösungen für statische Analysen, Software-Zusammensetzungsanalysen und dynamische Analysen, mit denen Teams Schwachstellen und Fehler in proprietärem Code, Open Source-Komponenten und Anwendungsverhalten schnell finden und beheben können. Mit einer Kombination aus branchenführenden Tools, Services und Fachwissen hilft nur Synopsys Unternehmen, die Sicherheit und Qualität in DevSecOps und während des gesamten Lebenszyklus der Softwareentwicklung zu optimieren. Erfahren Sie mehr unter synopsys.com/software.

Über Synopsys

Synopsys, Inc. (Nasdaq: SNPS) ist der Silicon to Software ™ -Partner für innovative Unternehmen, die die elektronischen Produkte und Softwareanwendungen entwickeln, auf die wir uns täglich verlassen. Als das 15. größte Softwareunternehmen der Welt hat Synopsys eine lange Geschichte als weltweit führender Anbieter von EDA (Electronic Design Automation) und Halbleiter-IP und baut seine Führungsposition bei Softwaresicherheits- und Qualitätslösungen aus. Egal, ob Sie ein System-on-Chip-Designer (SoC) sind, der fortschrittliche Halbleiter entwickelt, oder ein Softwareentwickler, der Anwendungen schreibt, die höchste Sicherheit und Qualität erfordern, Synopsys verfügt über die Lösungen, die für die Bereitstellung innovativer, qualitativ hochwertiger und sicherer Produkte erforderlich sind. Erfahren Sie mehr unter synopsys.com.

###