Compliance- & Sicherheits-Risiken identifizieren
Statusreport 2021 zu Open Source-Lizenzierung und Compliance
Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source-Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht
Revenera hat den neuen "State of Open Source License Compliance" Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits in 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.
Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.
Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:
Mehr OSS, mehr Risiko
Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196 Prozent). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58 Prozent.
Fehleinschätzung bei der OSS-Nutzung
Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4 Prozent bekannt waren, gehen tatsächlich 55 Prozent der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10 Prozent im Vergleich zum letzten Jahr.
Doppelt so viele Sicherheitslücken
Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46 Prozent ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System).
Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
Rund 5 Prozent der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.
Deep Code Scanning vs. High-Level
Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37 Prozent der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28 Prozent. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34 Prozent der kritischen Fälle ans Licht kamen.
Vorsicht bei Copyleft
Die Copyleft Lizenzierung wird oft mit "freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12 Prozent bzw. 20 Prozent der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.
"Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken", erklärt Alex Rybak, Director Product Management bei Revenera. "Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken."
(Revenera: ra)
eingetragen: 14.03.21
Newsletterlauf: 25.05.21
Revenera: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>