Eine neue Studie, die auf den Ergebnissen von mehr als 1.700 Audits von kommerziellen und proprietären Codebasen basiert, die an Fusions-und Übernahmetransaktionen beteiligt sind, stellt fest, dass 84 Prozent mindestens eine bekannte Open-Source-Schwachstelle enthalten, eine Steigerung von fast vier Prozent gegenüber dem letzten Jahr.
Der Open Source Security and Risk Analysis (OSSRA)-Bericht, erstellt von Synopsys Cybersecurity Research Center (CyRC), zeigt eine wachsende Nutzung von Open Source. Im Bereich Bildungstechnologie ist es um 163 Prozent gewachsen, wobei Bildungskurse und Interaktionen zwischen Lehrern und Schülern zunehmend online verlagert werden.
Andere Bereiche, die einen großen Anstieg des Open-Source-Wachstums verzeichnen, sind der Luft-und Raumfahrt-, Automobil-, Transport-und Logistiksektor mit einem Wachstum von 97 % sowie Fertigung und Robotik mit einem Wachstum von 74 %.
Seit 2019 werden Sicherheitslücken mit hohem Risiko in der Einzelhandel und E-Commerce sind um 557 Prozent gestiegen. Der Sektor Internet der Dinge, in dem 89 Prozent des gesamten Codes Open Source sind, verzeichnete im gleichen Zeitraum einen 130-prozentigen Anstieg an hochriskanten Schwachstellen. In ähnlicher Weise verzeichneten Luft-und Raumfahrt, Luftfahrt, Automobil, Transport und Logistik einen 232-prozentigen Anstieg an hochriskanten Schwachstellen.
Der Bericht stellt auch fest, dass 31 Prozent der Codebasen Open Source ohne erkennbare Lizenz oder mit angepassten Lizenzen verwenden. Dies ist eine 55-prozentige Steigerung gegenüber dem letztjährigen OSSRA-Bericht. Das Fehlen einer mit Open-Source-Code verbundenen Lizenz oder einer Variante einer anderen Open-Source-Lizenz kann unerwünschte Anforderungen an den Lizenznehmer stellen und erfordert häufig eine rechtliche Prüfung auf mögliche IP-Probleme oder andere rechtliche Auswirkungen.
“Der Schlüssel zum Management von Open-Source-Risiken bei der Geschwindigkeit der modernen Entwicklung liegt in der Aufrechterhaltung der vollständigen Transparenz der Anwendungsinhalte”, sagt Mike McGuire, Senior Software Solutions Manager innerhalb der Synopsys Software Integrity Group. „Durch den Aufbau dieser Transparenz des Anwendungslebenszyklus können sich Unternehmen mit den Informationen ausstatten, die sie benötigen, um fundierte und zeitnahe Entscheidungen zur Risikobewältigung zu treffen. Organisationen, die Software von Drittanbietern nutzen, sollten zu Recht davon ausgehen, dass sie Open Source enthält. Dies zu überprüfen und das damit verbundene Risiko im Griff zu behalten, ist so einfach wie das Einholen einer SBOM – etwas, das leicht von einem Anbieter bereitgestellt werden kann, der die notwendigen Schritte unternimmt, um seine Software-Lieferkette zu sichern.“
Die vollständiger Bericht ist auf der Synopsis-Website verfügbar.
Bildnachweis: Artur Szczybylo/Shutterstock