Login
Newsletter
Werbung

Fr, 18. Mai 2018, 11:12

Unternehmen

Black Duck: Open-Source-Sicherheits- und Risikoanalyse 2018

Die Verwendung freier Software nimmt weiter enorm zu, unabhängig von der Branche und der Größe der Anwender. Das geht aus einer aktuellen Umfrage von Black Duck hervor, deren Ergebnisse jetzt vorgestellt wurden. Viele proprietäre Projekte enthalten aber veraltete Komponenten mit bekannten Sicherheitslücken oder verletzen die Open-Source-Lizenzen.

Black Duck

Black Duck hilft Unternehmen, die freie Software einsetzen, die Sicherheit der Software zu gewährleisten und die Lizenzbedingungen zu verstehen und einzuhalten. Darüber hinaus unterstützt es die Kunden bei der Entwicklung ihrer Open-Source-Strategie. Der Schwerpunkt des weiter wachsenden Unternehmens, das im Jahr 2017 von Synopsys übernommen wurde, liegt mittlerweile auf der Erkennung von Sicherheitslücken und der Verbesserung der Sicherheit der eingesetzten Software.

Black Duck führt häufig Unternehmensumfragen zum Einsatz von freier Software durch. Die aktuelle Umfrage unter dem Titel »Open-Source-Sicherheits- und Risikoanalyse 2018« (OSSRA) wurde jetzt vorgestellt. Dieser Report untersucht die anonymisierten Ergebnisse von über 1100 der im Jahr 2017 geprüften kommerziellen Codebasen. Die in dem Bericht vertretenen Bereiche umfassen laut Black Duck Automotive, Big Data, Internet Security, Unternehmenssoftware, Finanzdienstleistungen, Gesundheitswesen, Internet of Things (IoT), Fertigung sowie den Mobile-App-Markt.

Der Bericht zeigt einen massiven Anstieg bei der Nutzung von Open-Source-Code. Die überprüften Anwendungen enthielten nach Angaben von Black Duck zu 96 Prozent Open-Source-Komponenten. Die Daten zeigen auch, dass die durchschnittliche Anzahl der pro Codebasis gefundenen Open-Source-Komponenten (257) im Vergleich zum Vorjahr um 75 Prozent gestiegen ist. Viele Anwendungen enthalten mittlerweile mehr Open Source als proprietären Code.

Beunruhigend sollte dabei allerdings sein, dass 78 Prozent der untersuchten Codebasen mindestens eine Open-Source-Schwachstelle bei durchschnittlich 64 Schwachstellen pro Codebasis enthielten. Über 54 Prozent der gefundenen Schwachstellen gelten als Schwachstellen mit hohem Risiko. 17 Prozent der Codebasen enthielten zudem eine bekannte und im Originalprojekt längst behobene Schwachstelle wie Heartbleed, Logjam, Freak, Drown oder Poodle. So war in 33 Prozent der überprüften Codebasen mit Apache Struts (das in acht Prozent der überprüften Codebasen zum Einsatz kommt) noch immer die längst gepatchte Sicherheitslücke vorhanden, die 2017 zum Equifax-Hack führte. Im Durchschnitt waren die festgestellten Schwachstellen bereits seit fast sechs Jahren bekannt und geschlossen.

Anfällige Open-Source-Komponenten wurden Black Duck zufolge in Anwendungen jeder Branche gefunden. Der Bereich Internet- und Software-Infrastruktur hatte mit 67 Prozent den höchsten Anteil. Ironischerweise gab es bei 41 Prozent der Anwendungen in der Cyber-Sicherheitsbranche kritische Schwachstellen, womit diese Branche das vierthöchste Risiko aufweist.

74 Prozent der geprüften Codebasen enthielten auch Komponenten mit Lizenzkonflikten, von denen die häufigsten GPL-Lizenzverletzungen waren. Der Prozentsatz der Anwendungen mit Lizenzkonflikten innerhalb der Branchen reichte von 61 Prozent bei Einzelhandel und E-Commerce bis zum Höchstwert in der Telekommunikations- und Wireless-Branche, wo 100 Prozent des auditierten Codes irgendeine Form von Open-Source-Lizenzkonflikt aufwies.

Der vollständige Bericht ist nach Angabe des Namens und einer E-Mail-Adresse bei Black Duck kostenlos erhältlich. Black Duck empfiehlt Unternehmen dringend den Einsatz von Werkzeugen, um Schwachstellen in Open-Source-Komponenten zu erkennen und die Lizenzkonformität sicherzustellen. Neben proprietären Werkzeugen von Black Duck selbst und anderen Anbietern existieren dazu auch freie Werkzeuge, darunter Fossology und SW360.

Werbung
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung