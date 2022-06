Snyk, Anbieter von Security-Lösungen für Entwickler, und die Linux Foundation haben heute die Ergebnisse ihres ersten gemeinsamen Forschungsberichts "The State of Open Source Security", bekannt gegeben. Diese zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben.

Mehr als vier von zehn Unternehmen (41 Prozent) haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software.

Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten (Open-Source-Code, der von einem Projekt aufgerufen wird).

Die Zeit, die benötigt wird, um Schwachstellen in Open-Source-Projekten zu beheben, ist stetig gestiegen und hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.

Mehr als ein Viertel der Umfrageteilnehmer gab an, dass sie sich Sorgen über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten machen.

Nur 18 Prozent der Befragten gaben an, dass sie von den Kontrollen, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, überzeugt sind.

Vierzig Prozent aller Schwachstellen wurden in transitiven Abhängigkeiten gefunden.

Moderne Anwendungsentwicklungsteams nutzen Code aus einer Vielzahl von Quellen. Sie verwenden Code aus anderen Anwendungen, die sie erstellt haben, und durchsuchen Code-Repositories, um Open-Source-Komponenten zu finden, die ihnen die benötigten Funktionen bieten. Die Verwendung von Open Source erfordert ein neues Sicherheitsdenken bezüglich der Entwickler, das viele Unternehmen noch nicht angenommen haben.Die Ergebnisse zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben, und auch, dass viele Unternehmen derzeit schlecht darauf vorbereitet sind, diese Risiken effektiv zu bewältigen. Der Bericht stellt insbesondere Folgendes fest:Wenn Entwickler eine Open-Source-Komponente in ihre Anwendungen integrieren, werden sie sofort von dieser Komponente abhängig und sind einem Risiko ausgesetzt, wenn diese Komponente Sicherheitslücken enthält. Der Bericht zeigt, wie real dieses Risiko ist, denn in jeder untersuchten Anwendung wurden Dutzende von Schwachstellen in vielen direkten Abhängigkeiten entdeckt. Das durchschnittliche Anwendungsentwicklungsprojekt hat demnach 49 Schwachstellen und 80 direkte Abhängigkeiten.Dieses Risiko wird durch indirekte oder transitive Abhängigkeiten, also die Abhängigkeiten von anderen Abhängigkeiten, noch verstärkt. Viele Entwickler wissen nicht einmal von diesen Abhängigkeiten, was es noch schwieriger macht, sie zu verfolgen und abzusichern. Dennoch sind sich die Umfrageteilnehmer in gewissem Maße der Sicherheitskomplexität bewusst, die durch Open Source in der heutigen Software-Lieferkette entsteht:Mit der zunehmenden Komplexität der Anwendungsentwicklung wurden auch die Sicherheitsherausforderungen für die Entwicklungsteams immer komplexer. Die Verwendung von Open-Source-Software macht die Entwicklung zwar effizienter, erhöht aber auch den Reparaturaufwand. Dem Bericht zufolge dauert die Behebung von Schwachstellen in Open-Source-Projekten fast 20 Prozent länger (18,75 Prozent) als in proprietären Projekten."Softwareentwickler haben heute ihre eigenen Lieferketten – aber statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme", sagt Matt Jarvis, Director, Developer Relations, Snyk."Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt Innovationen, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie zu sichern", erläutert Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). "Diese Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Praktiken bei Open Source oder in der Software-Lieferkette wegzukommen."