Login
Newsletter
Werbung

Di, 2. Juli 2019, 14:49

Software::Security

Synopsys: Open-Source-Sicherheits- und Risikoanalyse 2019

Die Verwendung freier Software nimmt weiter enorm zu, unabhängig von der Branche und der Größe der Anwender. Das geht aus dem aktuellen Bericht von Synopsys hervor. Viele proprietäre Projekte enthalten weiterhin veraltete Komponenten mit bekannten Sicherheitslücken oder verletzen die Open-Source-Lizenzen, allerdings gibt es Fortschritte.

Black Duck

Black Duck, seit dem Jahr 2017 Bestandteil von Synopsys, hilft Unternehmen, die freie Software einsetzen, die Sicherheit der Software zu gewährleisten und die Lizenzbedingungen zu verstehen und einzuhalten. Darüber hinaus unterstützt es die Kunden bei der Entwicklung ihrer Open-Source-Strategie. Der Schwerpunkt des Unternehmens liegt mittlerweile auf der Erkennung von Sicherheitslücken und der Verbesserung der Sicherheit der eingesetzten Software.

Die Ergebnisse der 2018 durchgeführten Audits bei Kunden flossen zusammen mit weiteren Erkenntnissen in die »Open-Source-Sicherheits- und Risikoanalyse 2019« (OSSRA) ein. Dieser Report untersucht die anonymisierten Ergebnisse von über 1200 der im Jahr 2018 geprüften kommerziellen Codebasen. Diese stammten laut Synopsys aus zahlreichen Branchen.

Der Bericht zeigt einen weiteren Anstieg bei der Nutzung von Open-Source-Code, so dass 99 Prozent der überprüften Anwendungen Open-Source-Komponenten enthielten. Die Daten zeigen auch, dass die durchschnittliche Anzahl der pro Codebasis gefundenen Open-Source-Komponenten (298) im Vergleich zum Vorjahr weiter gestiegen ist. Viele Anwendungen enthalten mittlerweile mehr Open Source als proprietären Code, im Schnitt 60 Prozent.

Beunruhigend sollte dabei allerdings sein, dass 60 Prozent der untersuchten Codebasen mindestens eine Open-Source-Schwachstelle enthielten. Das bedeutet allerdings eine wesentliche Verbesserung im Vergleich zum Vorjahr, als es noch 78% waren. Über 40 Prozent der gefundenen Schwachstellen (im letzten Jahr: 54%) gelten als Schwachstellen mit hohem Risiko. Im Durchschnitt waren die festgestellten Schwachstellen bereits seit 6,6 Jahren bekannt und in den Originalprojekten behoben. Das Alter lag damit etwas höher als 2017. Dies deutet laut Synopsys darauf hin, dass Korrekturmaßnahmen nicht wesentlich verbessert wurden.

68 Prozent der geprüften Codebasen enthielten auch Komponenten mit Lizenzkonflikten, von denen die häufigsten GPL-Lizenzverletzungen waren. Das waren etwas weniger als vor einem Jahr. Der vollständige Bericht ist nach Angabe des Namens und einer E-Mail-Adresse bei Synopsys kostenlos erhältlich. Synopsys empfiehlt Unternehmen dringend den Einsatz von Werkzeugen, um Schwachstellen in Open-Source-Komponenten zu erkennen und die Lizenzkonformität sicherzustellen. Neben proprietären Werkzeugen von Synopsys selbst und anderen Anbietern existieren dazu auch freie Werkzeuge, darunter Fossology und SW360.

Werbung
Kommentare (Insgesamt: 0 || Kommentieren )
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung