Flexera Statusreport 2020 zu Open-Source-Lizenzierung

Im neuen „State-of-Open-Source-License-Compliance“-Report von Flexera analysierten die Experten für Software-Composition-Analysis Daten aus 121 Audits weltweit, um den Umfang an undokumentierter Open-Source-Software in Unternehmen zu erfassen und potentielle Compliance- und Sicherheitsrisiken zu identifizieren. [...]

Einstufung der Compliance-Verstöße nach Risikostufe.
Einstufung der Compliance-Verstöße nach Risikostufe. (c) Flexera; Quelle: Flexera 2020 State of Open Source License Compliance

Für die branchenübergreifende Studie wertete Flexera mehr als 2,6 Milliarden Codezeilen aus. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Dabei entdeckten sie insgesamt 80.157 kritische Fälle – eine Steigerung von 80 Prozent im Vergleich zum Vorjahr. 

Die wichtigsten Ergebnisse des Flexera Open-Source-Reports 2020 im Überblick:

  • Open Source-Probleme nehmen zu 
    Durchschnittlich stießen die Analysten alle 32.600 Codezeilen auf einen Compliance-Verstoß, eine Schwachstelle oder Ähnliches. Bei jedem Audit kommen so im Schnitt 662 kritische Fälle ans Licht. Die Zahl der potenziellen Open Source-Risiken stieg damit im Vergleich zum Vorjahr um 80 Prozent (2019: 367). Der Anstieg ist unter anderem auf die Anzahl der verwendeten Node.js-Pakete aus NPM-Modulen zurückzuführen ist – ein Trend, der sich 2020 fortsetzen wird.
  • Blind bei der Nutzung von Open Source
    Unternehmen schätzen die Nutzung von Open Source falsch ein. Tatsächlich gehen 45 Prozent der in den Audits untersuchten Codebasis auf Open-Source-Komponenten zurück. Den Unternehmen waren nur ein Prozent dieser Komponenten vor Beginn des Auditprozesses bekannt. Das Fehlen von automatisierten Scan- und Monitoring-Prozessen für Open-Source-Komponenten sind ein Grund für diese massive Fehleinschätzung.
  • Versäumnisse von Security Scans 
    Baseline-Audits und Fast-Scans liefern nur unzureichende Ergebnisse. Im Rahmen von forensischen Audits werden pro Audit durchschnittlich 6 Prozent mehr Compliance-Risiken entdeckt als bei Standard-Audits. Im Vergleich zu gezielten Audits liegt die Trefferquote um 9 Prozent höher.
  • Kritikalität der Compliance-Verstöße 
    Rund 17 Prozent der Treffer wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Dazu gehören u.a. schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL betreffen. Weitere 5 Prozent der entdeckten OSS-Fälle fielen unter Prioritätsstufe 2 (z. B. sekundäre Probleme mit kommerziellen Lizenzen). 76 Prozent der Ergebnisse entsprachen der Prioritätsstufe 3, darunter risikoarme Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.
  • Häufigkeit von Sicherheitsschwachstellen
    Bei der Auswertung von 91 forensischen und Standard-Audits identifizierten die Analysten im Schnitt 45 Vulnerabilities je Audit. Von den aufgedeckten Schwachstellen stellten 45 Prozent ein „hohes“ CVSS-Risiko dar (Common Vulnerability Scoring System).

„Der Einsatz von Open Source Software nimmt aus gutem Grund weiter zu. Entwickler können ihre Produktivität steigern, die Markteinführung von Produkten beschleunigen und Kosten senken. Sowohl Softwareanbieter als auch ihre Partner und Kunden müssen genau wissen, welche Open-SourceKomponenten wie in welchen Produkten enthalten sind. Die steigende Zahl an Compliance-Verstößen, die wir in Audits entdeckt haben, zeigt, wie wichtig eine ganzheitliche Open-SourceManagement-Strategie für die gesamte Supply Chain ist“, erklärt Brent Pietrzak, SVP und General Manager bei Flexera und resümiert: „Open Source birgt nicht automatisch mehr Risiken als proprietärer Code. Fehlt es jedoch an der richtigen Dokumentation und Verwaltung kann Open Source schnell zu einem echten Sicherheitsrisiko werden.“

Den vollständigen „Report State of Open Source License Compliance“ finden Interessierte auf der Flexera-Website


Mehr Artikel

Der Autor Franz Kögl ist Vorstand bei IntraFind in München, einem Spezialisten für Enterprise Search und KI mit Kunden aller Unternehmensgrößen. (c) IntraFind
Kommentar

KI in KMU – so klappt’s nachhaltig und sicher

Generative KI, oder auf Neudeutsch GenAI, ist – unter den richtigen Voraussetzungen – auch für kleine und mittelständische Unternehmen von Vorteil. Anders als große Konzerne benötigen sie aufgrund ihrer eingeschränkten Ressourcen allerdings einen guten Plan. Ein exklusiver Beitrag von Franz Kögl, Vorstand bei IntraFind. […]

News

Die große Cloud-Lüge

Die moderne IT-Welt wird von der scheinbar grenzenlosen Leistungsfähigkeit der Cloud begeistert – einem Versprechen von Skalierbarkeit, Flexibilität und ständiger Innovation. Hinter diesem verführerischen Image verbergen sich jedoch erhebliche wirtschaftliche Risiken, die den Fortschritt in eine teure Falle verwandeln können. […]

Kommentar

Responsible AI durch Vertrauen, Security und Governance

Responsible KI-Praktiken sind unerlässlich, um sicherzustellen, dass KI-Systeme hochwertig, sicher und gut verwaltet sind. Qualitätsaspekte sollten bei der KI-Entwicklung im Vordergrund stehen, damit sichergestellt ist, dass KI-Systeme nicht voreingenommen sind und auf ihre Anwendbarkeit und Angemessenheit in den vorgesehenen Anwendungsfällen überprüft werden. […]

News

IT-Kostenoptimierung als Innovationsmotor

Unternehmen, die ihre IT-Kosten optimiert haben, verfügen über genügend Budget für Innovation, so die Kernaussage einer neuen Studie von SoftwareOne, die Best Practices für IT-Kostenmanagement und Innovation in mittelständischen Unternehmen analysiert. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*