91 % kommerzieller Anwendungen mit veraltetem Open Source Code (Bericht)

Kein Kommentar Autor: Jürgen (jdo)

Das ist eine interessante Untersuchung von Synposys. Sie nennt sich 2020 Open Source Security and Risk Analysis und der Bericht öffnet einem schon ein bisschen die Augen. Die Experten von Synopsys habe für den Bericht mehr als 1250 kommerzielle Codebases unter die Lupe genommen. Verantwortlich für die Audits war das Team Black Duck Audit Services.

Fast alle benutzen Open Source

Die erste Erkenntnis aus dem Bericht ist, dass fast alle Codebases  99 %  mindestens eine Open-Source-Komponente verwenden. Insgesamt macht Open Source 70 % des Codes aus. Seit 2015 hat sich das fast verdoppelt (36 %).

Problematisch ist aber, dass 91 % der Codebases veraltete Komponenten einsetzen. Entweder solche, die bereits seit mehr als 4 Jahren veraltet sind oder in den letzten beiden Jahren nicht mehr weiterentwickelt wurden.

Die Experten sehen diesen Trend mit Sorge. Schließlich enthielten 75 % der untersuchten Codebases Open-Source-Komponenten mit bekannten Security-Lücken. Im Jahr zuvor waren das noch 60 %.

Fast in der Hälfte der Projekte (49 %) fanden die Entwickler schwere Security-Lücken. Zum Vorjahr ist das eine Steigerung von 9 %.

Zusammenfassung des Berichts

Die Annahme von Open Source steigt weiter. Das 99 % der Projekte quelloffenen Code enthalten, habe ich bereits erwähnt. Im Durchschnitt befinden sich 445 quelloffene Komponenten in jedem Projekt. 2018 waren das zum Vergleich nur 298 im Schnitt.

Den veralteten Code einfach updaten, ist nicht so trivial. Trotz der Security-Lücken könnten Updates zu Inkompatibilitäten führen, schreiben die Experten.

Auch wenn es einen höheren Prozentsatz an Projekten mit schweren Security-Lücken gibt, haben die Experten keine Codebase gefunden, in der sich der berüchtigte Heartbleed-Fehler oder die Apache-Struts-Schwachstelle befand.

Es gibt viele Lizenzverletzungen, die geistiges Eigentum gefährdet. Auch wenn Open Source kostenlos ist, werden die meisten Projekte mit einer Lizenz veröffentlicht. Bei 68 % der Projekte gibt es einen Konflikt mit den Lizenzen. 33 % benutzen quelloffenen Code ohne die Angabe von irgendwelchen Lizenzen. Die Lizenzverletzungen sind bei Internet & Mobile mit 93 % sehr hoch. Bei virtueller Realität, Spielen, Unterhaltung und Media mit 59 % vergleichsweise niedrig – aber natürlich immer noch hoch.

33 % machen gar keine Angaben zu Open Source und den entsprechenden Lizenzen

33 % machen gar keine Angaben zu Open Source und den entsprechenden Lizenzen

Du kannst den Bericht hier kostenlos herunterladen, musst Dich dafür aber registrieren – also E-Mail-Adresse, Name, Firma und Land wird verlangt.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.