Open Source Security and Risk Analysis 2022

Synopsys-Studie ermittelt zentrale Herausforderungen beim Management von Open-Source-Risiken innerhalb von Software-Lieferketten

Die Analyse von über 2.400 kommerziellen und proprietären Codebasen zeigt einen Rückgang bei Lizenzrisiken und Open-Source-Schwachstellen. Dennoch sind 88 % der Unternehmen immer noch nicht in der Lage, Open Source auf dem aktuellen Stand zu halten.

Synopsys Inc. (Nasdaq: SNPS) veröffentlichte seinen Open Source Security and Risk Analysis (OSSRA) 2022 Bericht. Dieser wurde vom Synopsys Cybersecurity Research Center (CyRC) erstellt und untersucht die Ergebnisse aus mehr als 2.400 Audits kommerzieller und proprietärer Codebasen. Das Black Duck® Audit Services Team führte die Audits im Rahmen von Fusionen und Übernahme-Transaktionen durch. Der Bericht hebt Trends bei der Nutzung von Open Source in kommerziellen und proprietären Anwendungen hervor. Gleichzeitig liefert er Einblicke, um das verzahnte Software-Ökosystem besser zu verstehen. Der Bericht erörtert detailliert die allgegenwärtigen Risiken, die von unzureichend verwalteten Open-Source-Komponenten ausgehen. Einschließlich von Sicherheitslücken, veralteten oder verwaisten Komponenten und Problemen bei der Einhaltung von Lizenzbestimmungen.

Der OSSRA-Bericht für 2022 bestätigt die Tatsache, dass Open Source nahezu überall und in jeder Branche eingesetzt wird und die Grundlage für jede heutzutage entwickelte Anwendung bildet.

  • Veraltete Open Source Software ist nach wie vor die Norm – einschließlich anfälliger Log4j-Versionen. Betrachtet man das Ganze aus der Perspektive betrieblicher Risiken und der notwendigen Wartung, enthalten 85 % der 2.097 Codebasen Open-Source-Komponenten, die seit mehr als vier Jahren veraltet sind.
    88 % der verwendeten Komponenten entsprechen nicht der neuesten verfügbaren Version. 5 % enthalten eine anfällige Version von Log4j.
  • Die analysierten Codebasen zeigen, dass Open-Source-Schwachstellen insgesamt abnehmen. 2.097 der untersuchten Codebasen enthielten Sicherheits- und Betriebsrisikobewertungen. Deutlich zurückgegangen ist demgegenüber die Zahl der Codebasen mit hochriskanten Open-Source-Schwachstellen. 49 % der in diesem Jahr überprüften Codebasen enthalten mindestens eine hochriskante Schwachstelle, verglichen mit 60 % im Vorjahr. Darüber hinaus weisen 81 % der überprüften Codebasen mindestens eine bekannte Open-Source-Schwachstelle auf. Das entspricht einem minimalen Rückgang von 3 % gegenüber den Resultaten des OSSRA-Berichts von 2021.
  • Auch Lizenzkonflikte sind insgesamt rückläufig. Mehr als die Hälfte, 53 %, der Codebasen weisen Lizenzkonflikte auf. Das ist ein deutlicher Rückgang, verglichen mit 65 % im Jahr 2020. Spezifische Lizenzkonflikte sind zwischen 2020 und 2021 durchweg rückläufig.
  • 20 % der untersuchten Codebasen enthalten Open-Source-Komponenten ohne oder mit einer angepassten Lizenz. Lizenzen regeln die mit der Nutzung einer Software verbundenen Rechte. Verwendet man Software ohne Lizenz, wirft das die kritische Frage auf, ob mit der Nutzung ein juristisches Risiko verbunden ist. Darüber hinaus führen angepasste Open-Source-Lizenzen bisweilen zu unerwünschten Anforderungen an den Lizenznehmer. Häufig benötigt man eine juristische Einschätzung hinsichtlich möglicher IP-Probleme oder anderer Auswirkungen.

„Die Nutzer von SCA-Software haben sich darauf konzentriert, die mit Open Source verbundenen Lizenzprobleme in den Griff zu bekommen und hochriskante Schwachstellen zu beheben“, erläutert Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Center. „Trotzdem bleibt die Tatsache bestehen, dass über die Hälfte der von uns geprüften Codebasen immer noch Lizenzkonflikte aufweisen und annähernd die Hälfte hochriskante Schwachstellen. Noch beunruhigender ist, dass 88 % der Codebasen [mit Risikobewertung] veraltete Versionen von Open-Source-Komponenten enthalten. Und zwar obwohl ein Update oder Patch bereits verfügbar, aber nicht eingespielt worden ist.“

Tim Mackey weiter: „Es gibt durchaus berechtigte Gründe, warum man Software nicht komplett auf dem neuesten Stand hält. Aber wenn Firmen auf eine präzise und aktuelle Inventarisierung der im Code verwendeten Open-Source-Software verzichten, können veraltete Komponenten in Vergessenheit geraten. Das kann über die Zeit dazu führen, dass sie für eine hochriskante Sicherheitslücke anfällig werden. Und dann gilt es unter Hochdruck herauszufinden, wo die besagte Komponente verwendet wird, um sie aktualisieren zu können. Genau das ist bei Log4j passiert. Deshalb sind Software-Lieferketten und eine Software Bill of Materials (SBOM) zu zentralen Themen geworden.“

OSSRA-Bericht für 2022

Mehr zu den mit Open Source Software verbundenen Risiken und wie Sie diesen begegnen,
finden Sie im OSSRA-Bericht für 2022