2021 Open Source Security and Risk Analysis Report von Synopsys Verwaister Open-Source-Code in neun von zehn Projekten

Redakteur: Stephan Augsten

91 Prozent der kommerziellen Code-Basen enthalten Open-Source-Komponenten, die seit gut zwei Jahren nicht gepflegt wurden, auch Schwachstellen sind weit verbreitet. Dieses Bild zeichnen 1.500 Audits, die in den „Open Source Security and Risk Analysis“ von Synopsys eingeflossen sind.

Firmen zum Thema

Open-Source-Code finden sich in vielen kommerziellen Projekten, oft ist er aber nicht auf dem neuesten Stand oder wird nicht mehr gepflegt.
Open-Source-Code finden sich in vielen kommerziellen Projekten, oft ist er aber nicht auf dem neuesten Stand oder wird nicht mehr gepflegt.
(© Imillian - stock.adobe.com)

Jedes Jahr analysiert das Cybersecurity Research Center (CyRC) von Synopsys die vom „Black Duck Audit Services“-Team erstellten Prüfberichte und verarbeitet die Ergebnisse im „Open Source Security and Risk Analysis“-Report (OSSRA). Der Bericht beleuchtet somit die Nutzung und den Einfluss von quelloffenen Komponenten innerhalb von kommerziellen Anwendungen.

Open-Source-Code findet sich demnach über alle Branchen hinweg in der Mehrzahl der Anwendungen. Im Bereich Marketing-Tech kommt keines der auditierten Unternehmen ohne quelloffene Software aus, in 95 Prozent der Fälle fanden sich Schwachstellen. Quelloffener Code bereichert auch das Gesundheitswesen (98 Prozent der Code-Basen) und den Finanzsektor (97 Prozent), leider aber eben auch um Schwachstellen (67 bzw. 60 Prozent).

Besonders besorgniserregend ist laut Synopsys die verbreitete Nutzung verwaister Open-Source-Komponenten. 91 Prozent aller Code-Basen beinhalteten Open-Source-Abhängigkeiten, die in den vorangegangenen zwei Jahren nicht mehr weiterentwickelt worden waren. Der Code wurde also weder verbessert noch wurden in diesem Zeitraum Security-Patches zur Verfügung gestellt.

Verwunderlich sei das nicht, kommentiert Tim Mackey, Principal Security Strategist beim Synopsys CyRC, schließlich hänge das Wohl von Open Source vom Engagement der Gemeinschaft ab: „Fehlt das entsprechende Engagement der Community, kann das die Lebensfähigkeit des gesamten Projekts beeinträchtigen.“ Angesichts der damit verbundenen Sicherheitsprobleme sollten Unternehmen die für sie erfolgskritischen Projekte finanziell und personell unterstützen.

Veraltete Abhängigkeiten und Lizenzverstöße

Doch mangelnde Pflege geht auch umgekehrt: In 85 Prozent aller Code-Basen fanden sich quelloffene Abhängigkeiten, die seit über vier Jahren veraltet sind, obwohl die jeweiligen Developer-Communities weiterhin aktiv sind. Neben den Sicherheitsproblemen durch fehlende Patches nähmen Firmen und Entwickler dabei ein weiteres Risiko billigend in Kauf, meint Synopsys, „nämlich unerwünschte Funktionalitäts- und Kompatibilitätsprobleme, die bei künftigen Aktualisierungen auftreten können.“

Ein weiteres Problem, auf das Anbieter von Software Composition Analysis regelmäßig hinweisen, sind Verstöße gegen die Bedingungen freier Lizenzen. Bei den aktuellsten Audits fand Synopsys in neun von zehn Code-Basen entsprechende Mängel, von Lizenzkonflikten über fehlerhafte und angepasste bis hin zu komplett fehlenden Lizenzverweisen.

Lizenzkonflikte treten demnach üblicherweise im Zusammenhang mit der GNU GPL (General Public License) auf. Gut ein Viertel der Code-Basen verwendet Open-Source-Komponenten ganz ohne jegliche Lizenz oder mit einer angepassten Lizenz. Unternehmen sollten also einen genauen Überblick haben, welche Abhängigkeiten sie zu welchen Bedingungen nutzen. Auch im Vorfeld von Fusionen und Übernahmetransaktionen sollten Unternehmen juristische Bedenken sowie Verletzungen der Rechte an geistigem Eigentum einschätzen können.

Mehr Informationen finden Interessierte im 2021 OSSRA Report und im Synopsys-Blog.

(ID:47341651)