Mehr als zwei Fünftel (41 %) der Unternehmen haben kein Vertrauen in ihre Open-Source-Sicherheit, wobei nur 49 % angeben, überhaupt eine Richtlinie zu haben, so eine neue Studie der Linux Foundation.
Der von Snyk mitgesponserte Bericht „State of Open Source Security“ wurde auf der Grundlage von Interviews mit 550 Open-Source-Akteuren und der Technologie von Snyk, die mehr als 1,3 Milliarden Open-Source-Projekte gescannt hat, erstellt.
Die Verwendung von Open-Source-Repositories zur Beschleunigung der Markteinführung ist in der Entwicklergemeinschaft weit verbreitet, kann Unternehmen jedoch verdeckten Risiken aussetzen, wenn diese Komponenten Malware oder Schwachstellen enthalten.
Sobald solche Komponenten verwendet werden, können diese Risiken angesichts der manchmal komplexen Abhängigkeiten zwischen den Komponenten schwer zu finden und zu beheben sein.
Dem Bericht zufolge enthält ein durchschnittliches Anwendungsentwicklungsprojekt 49 Schwachstellen, die sich auf 80 direkte Abhängigkeiten erstrecken.
Diese Herausforderungen werden jedoch häufig durch das Vorhandensein von indirekten Abhängigkeiten verschärft. Etwa 40 % aller Schwachstellen wurden in diesen transitiven Abhängigkeiten gefunden, so der Bericht.
Besorgniserregend ist, dass nur 18 % der Befragten angaben, sie hätten Vertrauen in die Kontrollen, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, und nur ein Viertel gab an, sie seien sogar besorgt über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten.
Open-Source-Teams haben Schwierigkeiten, den wachsenden Anforderungen an das Auffinden und Ausbessern dieser Fehler gerecht zu werden: Die Zeit, die für die Behebung von Open-Source-Schwachstellen benötigt wird, ist dem Bericht zufolge fast 20 % länger als bei proprietären Projekten. Sie verlängerte sich von 49 Tagen im Jahr 2018 auf 110 Tage im letzten Jahr.
Das könnte am Personalmangel liegen: 30 % der Unternehmen ohne eine Open-Source-Sicherheitsrichtlinie gaben an, dass sich derzeit niemand in ihrem Team direkt mit Open-Source-Sicherheit befasst.
„Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt die Innovation, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie abzusichern“, so Brian Behlendorf, General Manager der Open Source Security Foundation (OpenSSF).
„Diese Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Open-Source- oder Software-Lieferketten-Sicherheitspraktiken wegzukommen.“
Führende Persönlichkeiten der Gemeinschaft trafen sich im Mai in Washington, um ihren 10-Punkte-Plan zur Verbesserung der Sicherheit der Open-Source-Software-Lieferkette zu erläutern.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
E-Mail-Bedrohungen aus der Cloud steigen innerhalb eines Jahres um 101 % an