Compliance- & Sicherheits-Risiken identifizieren


Statusreport 2021 zu Open Source-Lizenzierung und Compliance
Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source-Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht



Revenera hat den neuen "State of Open Source License Compliance" Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits in 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.

Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.

Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:

Mehr OSS, mehr Risiko
Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196 Prozent). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58 Prozent.

Fehleinschätzung bei der OSS-Nutzung
Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4 Prozent bekannt waren, gehen tatsächlich 55 Prozent der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10 Prozent im Vergleich zum letzten Jahr.

Doppelt so viele Sicherheitslücken
Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46 Prozent ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System).

Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
Rund 5 Prozent der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.

Deep Code Scanning vs. High-Level
Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37 Prozent der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28 Prozent. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34 Prozent der kritischen Fälle ans Licht kamen.

Vorsicht bei Copyleft
Die Copyleft Lizenzierung wird oft mit "freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12 Prozent bzw. 20 Prozent der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.

"Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken", erklärt Alex Rybak, Director Product Management bei Revenera. "Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken."
(Revenera: ra)

eingetragen: 14.03.21
Newsletterlauf: 25.05.21

Revenera: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Unternehmen

  • KI & Big Data: Ganzheitlicher Ansatz vonnöten

    Wie können Big-Data- und KI-Anwendungen gewinnbringend genutzt werden, ohne Datenschutz und IT-Sicherheit zu verletzen? Mit dieser Frage beschäftigt sich eine juristische Studie des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE. Die Autorinnen und Autoren der Studie "Systematic Privacy in real-life Data Processing Systems" untersuchen geltende Vorschriften aus den Rechtsbereichen Datenschutz, IT-Sicherheitsrecht und Urheberrecht in Bezug auf Big Data.

  • Transparenz ist die Basis für Resilienz

    Deutschland ist mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) Vorreiter in Europa. 700 Unternehmen sind hierzulande seit Jahresbeginn verpflichtet, menschenrechtliche und umweltrechtliche Risiken in ihrer Lieferkette zu adressieren, mehr als 2.000 weitere Unternehmen müssen diesen Kraftakt ab dem 1. Januar 2024 bewältigen.

  • Probleme bei der Strategieumsetzung

    Planview, Unternehmen in den Bereichen Portfoliomanagement und Value Stream Management, hat kürzlich die Ergebnisse der globalen Studie "Bridging the gap: turning strategy into reality" veröffentlicht. Planview beauftragte Economist Impact, die Forschungsabteilung von The Economist, mit der Durchführung einer Studie.

  • Financial Crime Compliance-Kosten

    LexisNexis Risk Solutions hat ihren alljährlichen True Cost of Financial Crime Compliance Report veröffentlicht. Der Report zeigt, wie Finanzinstitute die Kosten und Herausforderungen bewältigen, die mit den sich ständig weiterentwickelnden Financial Crime Compliance-Vorschriften einhergehen.

  • Mobilitätszuschuss beliebtester Benefit

    Denn sie wissen nicht, was sie tun: Der Fachkräftemangel hält HR-Abteilungen bundesweit auf Trapp, doch scheinen viele Unternehmen die Wünsche und Bedürfnisse ihrer Mitarbeitenden nicht gut zu kennen. Dadurch schießen sie mit ihren Maßnahmen für Mitarbeiterbindung oft am Ziel vorbei. Dies zeigen Daten des Circula Benefits-Reports 2023/24, für die im August 1000 deutsche Arbeitnehmer sowie 251 HR- und Finanzentscheider befragt wurden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen