Die weit verbreitete Verwendung von Open-Source-Software (OSS) in der modernen Anwendungsentwicklung stellt ein „erhebliches Sicherheitsrisiko“ dar, wie neue Forschungsergebnisse nahelegen.
Laut einem neuen Bericht des Cybersicherheitsunternehmens Snyk zusammen mit Linux (öffnet in neuem Tab) Foundation sind die heutigen Organisationen unzureichend darauf vorbereitet, diese Risiken anzugehen.
Basierend auf einer Umfrage unter mehr als 550 Befragten sowie Daten aus 1.3 Milliarden Open-Source-Projekten über Snyk Open Source stellt der Bericht fest, dass zwei von fünf (41 %) Unternehmen kein Vertrauen in die Sicherheit ihres Open-Source-Codes haben.
Schwachstellen in Open-Source-Code
Es wurde festgestellt, dass das durchschnittliche Anwendungsentwicklungsprojekt 49 Schwachstellen sowie 80 direkte Abhängigkeiten aufweist. Normalerweise dauert es heute 110 Tage, um eine Schwachstelle in einem Open-Source-Projekt zu beheben, gegenüber 49 Tagen vor vier Jahren.
„Softwareentwickler haben heute ihre eigenen Lieferketten – anstatt Autoteile zusammenzubauen, bauen sie Code zusammen, indem sie vorhandene Open-Source-Komponenten mit ihrem einzigartigen Code zusammenfügen. Dies führt zwar zu gesteigerter Produktivität und Innovation, hat aber auch zu erheblichen Sicherheitsbedenken geführt“, sagte Matt Jarvis, Director, Developer Relations, Snyk.
Jarvis fügte hinzu, dass es eine gewisse „Naivität“ in der Herangehensweise der Branche an Open-Source-Software gibt, die allen Arten von Malware, Ransomware und anderen Angriffen Tür und Tor öffnen könnte.
Beispielsweise haben weniger als die Hälfte (49 %) eine Sicherheitsrichtlinie für die OSS-Entwicklung oder -Nutzung, was bei mittleren und großen Unternehmen auf 27 % abfällt. Darüber hinaus ist sich weniger als ein Drittel (30 %) der Organisationen ohne Open-Source-Sicherheitsrichtlinie der Tatsache bewusst, dass sich derzeit niemand mit der Sicherheit von Open-Source-Software befasst.
Einige Befragte sind sich jedoch der Sicherheitsherausforderungen bewusst, die Open-Source-Software in der Lieferkette darstellt. Ein Viertel gab an, besorgt über die Sicherheitsauswirkungen ihrer Abhängigkeiten von OSS zu sein, und nur 18 % sagten, sie seien von den Kontrollen überzeugt, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, wo 40 % aller Schwachstellen gefunden wurden.