Compliance- & Sicherheits-Risiken identifizieren


Statusreport 2021 zu Open Source-Lizenzierung und Compliance
Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source-Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht



Revenera hat den neuen "State of Open Source License Compliance" Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits in 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.

Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.

Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:

Mehr OSS, mehr Risiko
Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196 Prozent). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58 Prozent.

Fehleinschätzung bei der OSS-Nutzung
Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4 Prozent bekannt waren, gehen tatsächlich 55 Prozent der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10 Prozent im Vergleich zum letzten Jahr.

Doppelt so viele Sicherheitslücken
Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46 Prozent ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System).

Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
Rund 5 Prozent der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.

Deep Code Scanning vs. High-Level
Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37 Prozent der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28 Prozent. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34 Prozent der kritischen Fälle ans Licht kamen.

Vorsicht bei Copyleft
Die Copyleft Lizenzierung wird oft mit "freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12 Prozent bzw. 20 Prozent der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.

"Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken", erklärt Alex Rybak, Director Product Management bei Revenera. "Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken."
(Revenera: ra)

eingetragen: 14.03.21
Newsletterlauf: 25.05.21

Revenera: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Unternehmen

  • Datenschutz als Innovations-Bremse

    Mehr als zwei Drittel der Unternehmen in Deutschland fühlen sich vom Datenschutz ausgebremst. 70 Prozent haben bereits mindestens einmal Pläne für Innovationen aufgrund von Datenschutz-Vorgaben oder Unsicherheiten bei der Anwendung des geltenden Rechts gestoppt. Vor einem Jahr lag der Anteil noch bei 61 Prozent. Aktuell sagen wie im Vorjahr 17 Prozent, dass sie einmal auf Innovationspläne verzichtet haben. Bei 35 Prozent war das dagegen bereits mehrfach der Fall (2024: 27 Prozent) und bei 18 Prozent sogar häufig (2024: 17 Prozent). Das sind Ergebnisse einer repräsentativen Befragung von 605 Unternehmen ab 20 Beschäftigten in Deutschland im Auftrag des Digitalverbands Bitkom.

  • Gefahr von Cyberattacken

    IT-Verantwortliche bewerten das Risiko, dass ihr Unternehmen Opfer einer Cyberattacke wird, so hoch wie nie zuvor: Fast sieben von zehn Befragten (69 Prozent) befürchten laut einer aktuellen EY-Studie Hackerangriffe und bewerten die Gefahr dabei als "eher hoch" bis "sehr hoch". Besonders große Sorgen machen sich die Befragten in den Bereichen Technologie, Medien und Telekommunikation (82 Prozent), Energie und Metallverarbeitung (80 Prozent), Pharma und Gesundheit sowie Bau und Immobilien (jeweils 71 Prozent).

  • Revolution in der Fertigung

    NTT Data stellte die Ergebnisse ihrer neuesten Studie vor. Die Daten zeigen, dass Fertigungsunternehmen beim Einsatz von GenAI zwar vor einigen Hürden stehen, die Technologie aber das Potenzial hat, ein ganz neues Niveau an Effizienz und Innovationskraft hervorzubringen. Neben den vielen Anwendungsbereichen von GenAI untersuchte die Studie "Von der Fertigungshalle ins KI-Zeitalter: Haben Sie einen Masterplan oder Nachholbedarf?" auch die Herausforderungen, denen sich das produzierende Gewerbe gegenübersieht.

  • Drei Viertel lassen KI-Chancen liegen

    Ob zur Qualitätskontrolle, Automatisierung, Energieeinsparung oder Steuerung von Robotern - die Anwendungsmöglichkeiten für Künstliche Intelligenz in der Produktion sind zahlreich. Mit Blick auf die deutsche Industrie zeigt sich aber: Nur einem Viertel der Unternehmen gelingt es nach eigener Einschätzung bereits gut, die Potenziale von KI zu nutzen (24 Prozent). Das sind Ergebnisse einer repräsentativen Befragung im Auftrag des Digitalverbands Bitkom, die unter 552 Industrieunternehmen des verarbeitenden Gewerbes ab 100 Beschäftigten in Deutschland durchgeführt wurde. Die übrigen drei Viertel sehen sich noch nicht imstande, entsprechende Möglichkeiten auszuschöpfen (72 Prozent).

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

Phänomen: Ablehnung von Wechselkunden Valide Finanzdaten wichtig für COVID-Management

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen