1 Minute
Open Source hat ein Malwareproblem
Sonatype hat seinen zehnten jährlichen "State of the Software Supply Chain Report" veröffentlicht, der die zunehmenden Bedrohungen durch Open-Source-Malware und Sicherheitsrisiken in der Software-Lieferkette deutlich macht. Der Report, der auf Daten von über sieben Millionen Open-Source-Projekten basiert, beleuchtet die Entwicklungen der letzten Dekade und zeigt signifikante Risiken auf, die die Lieferkette gefährden.
2024 markiert laut dem "Annual State of the Software Supply Chain Report" von Sonatype ein Rekordjahr, in dem die Nutzung von freier Software schätzungsweise 6,6 Billionen Downloads erreicht. Die Verbreitung von Open-Source-Malware stellt jedoch ein wachsendes Problem dar: Im Vergleich zum Vorjahr stieg die Anzahl bösartiger Pakete um 156 Prozent, was seit 2019 zu mehr als 700.000 identifizierten gefährlichen Paketen führte. Trotz dieses Anstiegs mahnt der Report, dass viele Sicherheitslücken nicht zeitnah geschlossen werden. Einige kritische Schwachstellen blieben über 500 Tage offen, während 80 Prozent der Anwendungsabhängigkeiten über ein Jahr lang nicht aktualisiert wurden – obwohl für die meisten Pakete gefixte Versionen verfügbar waren.
Die Untersuchung zeigt ferner, dass Open-Source-Projekte mit kostenpflichtigem Support weniger Sicherheitslücken aufweisen und diese schneller beheben. Solche Projekte verfügen laut Sonatype dreimal häufiger über umfassende Sicherheitsstrategien als solche ohne Unterstützung. Zudem fördert eine zunehmend strengere Gesetzgebung, insbesondere durch die Einführung der EU-Richtlinie NIS2, die Verwendung von Software-Bill-of-Materials (SBOMs), die zur Stärkung der Softwaresicherheit beitragen sollen.