Snyk und die Linux Foundation haben die Ergebnisse ihres ersten gemeinsamen Forschungsberichts „The State of Open Source Security“, bekannt gegeben. Die Ergebnisse zeigen die erheblichen Sicherheitsrisiken auf, die sich aus dem weit verbreiteten Einsatz von Open-Source-Software in der modernen Anwendungsentwicklung ergeben, und auch, dass viele Unternehmen derzeit schlecht darauf vorbereitet sind, diese Risiken effektiv zu bewältigen.
Der Bericht stellt insbesondere Folgendes fest:
- Mehr als vier von zehn Unternehmen (41 %) haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software.
- Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten (Open-Source-Code, der von einem Projekt aufgerufen wird).
- Die Zeit, die benötigt wird, um Schwachstellen in Open-Source-Projekten zu beheben, ist stetig gestiegen und hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.
„Softwareentwickler haben heute ihre eigenen Lieferketten – aber statt Autoteile zusammenzubauen, entwickeln sie Code, indem sie vorhandene Open-Source-Komponenten mit ihrem eigenen Code mischen. Dies führt zwar zu höherer Produktivität und Innovation, sorgt aber auch für erhebliche Sicherheitsprobleme“, sagt Matt Jarvis, Director, Developer Relations, Snyk. „Der “State of Open Source Security“ Bericht hat weit verbreitete Beweise für die Naivität der Industrie in Bezug auf den heutigen Stand der Open-Source-Sicherheit gefunden. Gemeinsam mit der Linux Foundation planen wir, diese Erkenntnisse zu nutzen, um weltweit Entwickler zu schulen und auszustatten, damit sie weiterhin schnell, aber sicher, programmieren können.“
„Open-Source-Software macht Entwickler zweifellos effizienter und beschleunigt Innovationen, aber die Art und Weise, wie moderne Anwendungen zusammengestellt werden, macht es auch schwieriger, sie zu sichern“, sagt Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). „Diese Untersuchung zeigt deutlich, dass das Risiko real ist und die Branche noch enger zusammenarbeiten muss, um von schlechten Praktiken bei Open Source oder in der Software-Lieferkette wegzukommen.“
41 Prozent aller Unternehmen haben kein großes Vertrauen in die Sicherheit ihrer Open-Source-Software
Moderne Anwendungsentwicklungsteams nutzen Code aus einer Vielzahl von Quellen. Sie verwenden Code aus anderen Anwendungen, die sie erstellt haben, und durchsuchen Code-Repositories, um Open-Source-Komponenten zu finden, die ihnen die benötigten Funktionen bieten. Die Verwendung von Open Source erfordert ein neues Sicherheitsdenken bezüglich der Entwickler, das viele Unternehmen noch nicht angenommen haben.
Weitere Erkenntnisse:
- Weniger als die Hälfte (49 Prozent) der Unternehmen verfügen über eine Sicherheitsrichtlinie für die Entwicklung oder Nutzung von OSS (bei mittleren und großen Unternehmen sind es nur 27 Prozent).
- 30 Prozent der Unternehmen ohne eine Open-Source-Sicherheitsrichtlinie geben offen zu, dass sich niemand in ihrem Team direkt um die Open-Source-Sicherheit kümmert.
Das durchschnittliche Anwendungsentwicklungsprojekt hat 49 Schwachstellen und 80 direkte Abhängigkeiten
Wenn Entwickler eine Open-Source-Komponente in ihre Anwendungen integrieren, werden sie sofort von dieser Komponente abhängig und sind einem Risiko ausgesetzt, wenn diese Komponente Sicherheitslücken enthält. Der Bericht zeigt, wie real dieses Risiko ist, denn in jeder untersuchten Anwendung wurden Dutzende von Schwachstellen in vielen direkten Abhängigkeiten entdeckt.
Dieses Risiko wird durch indirekte oder transitive Abhängigkeiten, also die Abhängigkeiten von anderen Abhängigkeiten, noch verstärkt. Viele Entwickler wissen nicht einmal von diesen Abhängigkeiten, was es noch schwieriger macht, sie zu verfolgen und abzusichern.
Dennoch sind sich die Umfrageteilnehmer in gewissem Maße der Sicherheitskomplexität bewusst, die durch Open Source in der heutigen Software-Lieferkette entsteht:
- Mehr als ein Viertel der Umfrageteilnehmer gab an, dass sie sich Sorgen über die Sicherheitsauswirkungen ihrer direkten Abhängigkeiten machen.
- Nur 18 Prozent der Befragten gaben an, dass sie von den Kontrollen, die sie für ihre transitiven Abhängigkeiten eingerichtet haben, überzeugt sind.
- Vierzig Prozent aller Schwachstellen wurden in transitiven Abhängigkeiten gefunden.
Der Zeitaufwand, um Schwachstellen in Open-Source-Projekten zu beheben, hat sich von 49 Tagen im Jahr 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt
Mit der zunehmenden Komplexität der Anwendungsentwicklung wurden auch die Sicherheitsherausforderungen für die Entwicklungsteams immer komplexer. Die Verwendung von Open-Source-Software macht die Entwicklung zwar effizienter, erhöht aber auch den Reparaturaufwand. Dem Bericht zufolge dauert die Behebung von Schwachstellen in Open-Source-Projekten fast 20 Prozent länger (18,75 Prozent) als in proprietären Projekten.
Über den „State of Open Source Security“ Report:
Der „State of Open Source Security“ Report ist eine Partnerschaft zwischen Snyk und The Linux Foundation, der außerdem von OpenSSF, der Cloud Native Security Foundation, der Continuous Delivery Foundation sowie der Eclipse Foundation unterstützt wird. Der Bericht basiert auf einer Umfrage im ersten Quartal 2022 mit mehr als 550 Teilnehmern sowie auf Daten von Snyk Open Source, das mehr als 1,3 Milliarden Open-Source-Projekte gescannt hat.
https://snyk.io/