Font Size

Cpanel

Black Duck veröffentlicht Open Source Security and Risk Analysis Report

Am 19. April 2017 hat Evan Klein, Senior Product Marketing Manager bei Black Duck, die Veröffentlichung des „Open Source Security and Risk Analysis“ (OSSRA) Reports angekündigt. Darin soll der aktuelle Status von Open Source und der Umgang mit diesbezüglichen Risiken in Unternehmen untersucht werden, sodass Empfehlungen zur Handhabung von Sicherheitsbedrohungen und Lizenzrisiken gegeben werden können.

Der Bericht basiert auf Daten, die das „Center for Open Source Research & Innovation“ (COSRI) von Black Duck bei On-Demand Audits von über 1000 kommerziellen Anwendungen gesammelt, anonymisiert und zur Analyse zusammengefasst hat. Die Beantwortung der folgenden Fragen stand dabei im Vordergrund:

  • Inwieweit wird Open Source eingesetzt?
  • Welche Komponenten und Versionen sind am weitesten verbreitet?
  • Welche Lizenzen werden am meisten genutzt?
  • Welche Komponenten stellen die höchsten Sicherheitsbedrohungen für Anwendungen dar?
  • Wo liegen die meisten Sicherheitslücken und wie lange existieren sie schon?
  • Welche Industriebereiche gehen verantwortungsvoll mit Open Source um und welche nicht?

Bei der Auswertung des Reports wurde festgestellt, dass 67% der untersuchten Anwendungen auf den Einsatz von Open Source Komponenten mit Sicherheitsbedrohungen setzen. Dies konnte aber größtenteils auf veraltete Versionen zurückgeführt werden, was besonders in den Branchen Finanzdienstleistungen, Fintechs, Handel und E-Commerce sowie Internet und Infrastruktur beobachtet wurde. Noch stärker vertreten waren aber Rechtsrisiken beim Lizenzeinsatz. So seien bei über 85% der untersuchten Anwendungen die Lizenzbestimmungen nicht vollständig eingehalten worden.

Um den Problemen entgegenzuwirken, empfiehlt Black Duck die folgenden Vorsätze beim Einsatz von Open Source:

  • Verwendung der aktuellsten Versionen
  • Sicherheitsabgleich mit öffentlich verfügbaren Quellen wie der National Vulnerability Database
  • Tracking und Verwaltung der eingesetzten Lizenz- und Qualitätsrisiken
  • Definition und Durchsetzung von Policen zum Umgang mit Open Source Risiken
  • Tracking neu veröffentlichter Sicherheitsbedrohungen

Der OSSRA-Report kann nach Registrierung bei Black Duck heruntergeladen werden. Weitere Informationen sind im Blogeintrag von Evan Klein zu finden.