Open Source: 22 Prozent der Branchen-Apps bei Banken seien betroffen; 17 hoch­riskante Schwachstellen

Black Duck (Anbieter auto­ma­ti­sier­ter Test-Lösungen für Sicherung und Verwaltung von Open Source-Software) hat die Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 veröffentlicht. Der Report zeigt signifikante und branchenübergreifende Risiken im Zusammenhang mit Open-Source-Schwachstellen sowie Lizenz-Compliance-Herausforderungen auf – auch für Banken und Finanzdienstleistungen.

Black Duck führt jährlich Hunderte von Open-Source-Code-Audits durch, die primär mit Fusions- und Übernahme-Transaktionen zusammenhängen. Das Center for Open Source Research & Innovation (COSRI) analysierte 1.071 der im Jahr 2016 geprüften Applikationen und fand sowohl ein hohes Maß an Open-Source-Nutzung – 96 % der-Apps enthielten Open Source – als auch ein signifikantes Risiko für Schwachstellen – mehr als 60 % der Apps enthielten Open-Source-Sicherheitslücken.

Finanzbranche: 52 Open-Source-Schwachstellen pro Anwendung

Auffallend war, dass die Prüfungsergebnisse von Anwendungen aus der Finanzbranche 52 Open-Source-Schwachstellen pro Anwendung enthielten, und 60 % der Anwendungen wiesen Hoch-Risiko-Schwachstellen auf. Die Einzelhandels- und E-Commerce-Branche verzeichnete den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen, wobei 83 % ihrer geprüften Anwendungen Hoch-Risiko-Sicherheitslücken hatten.

Open-Source-Lizenzkonflikte sind weit verbreitet – Weckruf für Banken und Finanzdienstleister

Die untersuchten Anwendungen enthielten durchschnittlich 147 Open-Source-Komponenten – eine gewaltige Anzahl von Lizenzverpflichtungen, die es nachzuvollziehen gilt – und tatsächlich enthielten 85 % der untersuchten Anwendungen Komponenten mit Lizenzproblemen. Am häufigsten waren es GNU General Public License (GPL)-Probleme. Obwohl 75 % der Anwendungen Komponenten der GPL-Lizenz-Familie enthielten, hielten nur 45 % dieser Anwendungen die GPL-Vorgaben ein.

Open Source Nutzung ist weltweit allgegenwärtig und jüngste Forschungsberichte zeigen, dass zwischen 80 % und 90 % des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open-Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung. Unsere Audit-Ergebnisse bestätigen diesen universellen Nutzen, offenbaren aber auch ein beunruhigendes Niveau von Ineffektivität, wenn es um die Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht.”

Lou Shipley, Black Duck CEO

Shipley sagte, er würde erwarten, dass die Open Source-Audit-Ergebnisse Führungskräften im Bereich Security die Augen öffnen, weil die Anwendungsschicht ein primäres Ziel für Hacker ist. Exploits von Open-Source-Schwachstellen sind das größte Anwendungssicherheits-Risiko, das die meisten Unternehmen haben.

Alle nutzen jede Menge Open Source, aber wie die Audits zeigen, machen nur wenige einen adäquaten Job, wenn es um das Auffinden, Beseitigen und Überwachen von Open-Source-Schwachstellen in ihren Anwendungen geht.”

Chris Fearon, Director Black Duck Open Source Security Research Group

Die OSSRA-Analyse steht hier (nach Angabe der Kontaktdaten) kostenfrei zum Download bereit.aj