Der weitverbreitete Einsatz von Open-Source-Software (OSS) in der modernen Anwendungsentwicklung stellt neuen Forschungsergebnissen zufolge ein „erhebliches Sicherheitsrisiko“ dar.

Laut einem neuen Bericht des Cybersicherheitsunternehmens Snyk in Zusammenarbeit mit der Linux Foundation (wird in einem neuen Tab geöffnet) sind die heutigen Unternehmen auf diese Risiken schlecht vorbereitet.

Basierend auf einer Umfrage unter mehr als 550 Befragten sowie Daten aus 1300 Milliarden Open-Source-Projekten über Snyk Open Source stellt der Bericht fest, dass zwei von fünf Unternehmen (41 %) der Sicherheit ihres Open-Source-Codes nicht vertrauen.

Schwachstellen in Open-Source-Code

Es wurde festgestellt, dass das durchschnittliche Anwendungsentwicklungsprojekt 49 Schwachstellen sowie 80 direkte Abhängigkeiten aufweist. Es dauert heute normalerweise 110 Tage, um eine Schwachstelle in einem Open-Source-Projekt zu beheben, verglichen mit 49 Tagen vor vier Jahren.

„Die heutigen Softwareentwickler haben ihre eigenen Lieferketten: Anstatt Autoteile zusammenzubauen, bauen sie Code zusammen, indem sie vorhandene Open-Source-Komponenten mit ihrem einzigartigen Code kombinieren. Obwohl dies zu erhöhter Produktivität und Innovation führt, schafft es auch erhebliche Sicherheitsprobleme“, sagte Matt Jarvis. , Direktor für Entwicklerbeziehungen, Snyk.

Jarvis fügte hinzu, dass es eine gewisse „Naivität“ im Umgang der Branche mit Open-Source-Software gibt, die allen Arten von Malware, Ransomware und anderen Angriffen Tür und Tor öffnen könnte.

Beispielsweise hat weniger als die Hälfte (49 %) eine Sicherheitsrichtlinie zur Entwicklung oder Verwendung von OSS, und dieser Prozentsatz sinkt bei mittleren und großen Unternehmen auf 27 %. Darüber hinaus ist sich weniger als ein Drittel (30 %) der Unternehmen ohne Open-Source-Sicherheitsrichtlinie bewusst, dass sich derzeit niemand mit der Sicherheit von Open-Source-Software befasst.

Einige Befragte sind sich jedoch der Sicherheitsherausforderungen bewusst, die Open-Source-Software in der Lieferkette darstellt. Ein Viertel gibt an, besorgt über die Sicherheitsauswirkungen ihrer OSS-Abhängigkeiten zu sein, und nur 18 % geben an, dass sie den Kontrollen vertrauen, die sie für ihre transitiven Abhängigkeiten haben, wo 40 % aller Schwachstellen gefunden wurden.

Teilen Sie es