Open Source in mehr als 90 Prozent aller Anwendungen

Martin Schindler,
Open Source (Bild: Shutterstock / Bildagentur Zoonar GmbH)

60 Prozent aller Apps erben mit den Open-Source-Komponenten auch bekannte Sicherheitslücken. Für Hacker ist das ein gefundenes Fressen.

Die Frage, ob Open-Source sich für Unternehmensanwendungen eignet, stellt sich nicht mehr. Mehr als 96 Prozent der Anwendungen beinhalten Open-Source-Komponenten. Das ist das Ergebnis eines Software-Audits von Black Duck Software für den mehr als 1000 Anwendungen überprüft wurden. Gleichzeitig stellt der Spezialist für Code-Überprüfung fest, dass in diesen Anwendungen häufig bekannte Fehler stecken. Mehr als 60 Prozent weisen bekannte Open-Source-Schwachstellen auf.

Besonders betroffen sind laut Black Duck Lösungen für den Einzelhandel, E-Commerce und FinTech. 

Diese Apps kommen am häufigsten in kommerziellen Anwendungen vor und enthalten schwere Sicherheitslücken. (Bild: Black Duck)
Diese Apps kommen am häufigsten in kommerziellen Anwendungen vor und enthalten schwere Sicherheitslücken. (Bild: Black Duck)

Die Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017 zeigt signifikante und branchenübergreifende Risiken im Zusammenhang mit Open-Source-Schwachstellen sowie Lizenz-Compliance-Herausforderungen auf.

Vor allem in der Finanzbranche sind Schwachstellen verbreitet. Im Schnitt weisen diese 52 bekannte Schwachstellen auf. 60 Prozent der Apps leiden sogar an hochkritischen Schwachstellen. Die Einzelhandels- und E-Commerce-Branche verzeichnete mit 83 Prozent den höchsten Anteil von Anwendungen mit hochriskanten Open-Source-Schwachstellen auf. 

Konflikte sieht das Center for Open Source Research & Innovation (COSRI) von Black Duck, das diesen Audit durchgeführt hat, auch bei Open-Source-Lizenzen. Im Schnitt enthielten die insgesamt 1071 untersuchten Anwendungen 147 Open-Source-Komponenten. Da sind Probleme mit den verschiedenen quelloffenen Lizenzen vorprogrammiert.

85 Prozent der untersuchten Anwendungen enthalten Komponenten mit Lizenzproblemen. Am häufigsten stießen die Experten auf Konflikte mit der GNU General Public License (GPL). Etwa zwei Drittel der Anwendungen enthalten Komponenten der GPL-Lizenz-Familie. Doch nur 45 Prozent der Anwendungen halten sich auch an die Verpflichtungen, die durch die Verwendung von Technologien unter dieser Lizenz eingegangen werden. 

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

“Open Source Nutzung ist weltweit allgegenwärtig, und jüngste Forschungsberichte zeigen, dass zwischen 80 und 90 Prozent des Codes in den heutigen Apps Open Source ist. Das ist nicht verwunderlich, denn Open Source-Code hilft bei der Senkung der Entwicklungskosten, beschleunigt Innovationen und verkürzt die Zeit bis zur Markteinführung”, kommentiert Black Duck CEO Lou Shipley. Es zeige sich aber auch ein beunruhigendes Niveau von Ineffektivität, bei der Bewältigung von Risiken im Zusammenhang mit Open-Source-Sicherheitsschwachstellen und Lizenz-Compliance-Herausforderungen geht.

Im Gesundheitswesen und in Biowissenschaften ist Open Source besonders verbreitet. (Bild: Black Duck)
Im Gesundheitswesen und in Biowissenschaften ist Open Source besonders verbreitet. (Bild: Black Duck)

Open Source ist für Hacker besonders attraktiv, denn meist werden die Komponenten, beispielsweise in Webservern von vielen Anwendern eingesetzt. Zudem wissen viele Anwender nicht, dass sie Anwendungen einsetzen, die Open Source enthalten und patchen daher bekannte Sicherheitslecks nicht.

2016 wurden insgesamt 3623 neue Schwachstellen bei Open-Source-Komponenten bekannt. Das sind fast 10 Schwachstellen täglich und rund 10 Prozent mehr als noch 2015.