/ OSS / Black Duck: Open Source ist allgegenwärtig – und gefährlich

Black Duck: Open Source ist allgegenwärtig – und gefährlich

Moritz Rosenfeld on April 24, 2017 - 4:55 pm in OSS

Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.

Kaum eine Software kommt noch ohne Open-Source-Komponenten aus. Das ist ein Kernergebnis der
Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017, für die der Spezialist für Open-Source-Audits Black Duck Software über 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht hat. Im Schnitt stammte ein gutes Drittel des Codes aus Open-Source-Projekten; am häufigsten genutzt wurden jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt.

Zwei Drittel dieser Anwendungen nutzten allerdings quelloffene Komponenten in Versionen mit bekannten Sicherheitslücken, darunter auch Schwachstellen mit einem hohen Risiko. Die höchsten Anteile an Anwendungen mit gefährlichen Schwachstellen fand Black Duck ausgerechnet in den Branchen Handel und E-Commerce, Internet und Software-Infrastruktur sowie bei Finanzdienstleisters und Fintechs.

Viele der Lücken sind alte Bekannte: Selbst der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch in 1,5 Prozent der untersuchten Anwendungen. Das größte Risiko ging von den Open-SOurce-Komponenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat , dem Spring-Framework und OpenSSL aus-

Zudem sind beim Einsatz von Open-Sourcre-Software Lizenzprobleme häufig. Laut Black Duck nutzen über 85 Prozent der Anwendungen Open Source, ohne deren Lizenzbestimmungen vollständig einzuhalten. In gut der Hälfte der untersuchten Anwendungen wurde externer Code gefunden, dessen Lizenz gar nicht bekannt ist.

Die komplette Studie steht nach einer Registrierung bei Black Duck Software zum Download zur Verfügung. (odi)

Read more on: Source

Comments are disabled