Synopsis, seit vergangenem Dezember neuer Eigner des Audit-Spezialisten Black Duck, hat die Open Source Sicherheits- und Risikoanalyse (OSSRA) veröffentlicht. Die 1100 geprüften kommerziellen Codebasen enthalten zu 96 Prozent Open-Source-Code, lautet ein Ergebnis.
Die durchschnittliche Anzahl der pro Codebasis gefundenen Open-Source-Komponenten ist auf 257 angestiegen, ein Plus von 75 Prozent im Vergleich zum Vorjahr, heißt es in der Analyse.
Die OSSRA untersucht die Codebasen anonym, enthalten sind dabei Code aus den Bereichen Automotive, Big Data, Internet Security, Unternehmenssoftware, Finanzdienstleistungen, Gesundheitswesen, Internet of Things (IoT), Fertigung sowie der Mobile-App-Markt.
Viele Anwendungen enthalten mittlerweile mehr Open Source als proprietären Code, berichtet Synopsis. Dass 78 Prozent der untersuchten Codebasen mindestens eine Open-Source-Schwachstelle bei durchschnittlich 64 Schwachstellen pro Codebasis enthielten, sei beunruhigen, so Synopsis.
Über 54 Prozent der i Code gefundenen Schwachstellen seien mit hohem Risiko verbunden, so die Analyse. Rund 17 Prozent der Codebasen seien zudem mit längst bekannten Lücken wie Heartbleed, Logjam, Freak, Drown oder Poodle infiziert.
Bei den untersuchten Bereichen heben sich Internet- und Software-Infrastruktur besonders hervor. 67 Prozent der Anwendungen aus diesen Bereichen enthielten kritische Open-Source-Schwachstellen. Es haben aber auch 41 Prozent der Anwendungen in der Cyber-Sicherheitsbranche mit kritischen Open-Source-Schwachstellen zu kämpfen, berichtet der Anbieter.
Neben Sicherheitsproblemen seien bei 74 Prozent der geprüften Codebasen auch Komponenten mit Lizenzkonflikten gefunden worden, von denen die häufigsten GPL-Lizenzverletzungen gewesen seien. In der Telekommunikations- und Wireless-Branche seien 100 Prozent des auditierten Codes in irgendeiner Form von Open-Source-Lizenzkonflikt betroffen, so Synopsis.
Black Duck/Synopsis haben die OSSRA 2018 zum Nachlesen veröffentlicht, verlangt für den Download aber eine Registrierung..





