Compliance- & Sicherheits-Risiken identifizieren


Statusreport 2021 zu Open Source-Lizenzierung und Compliance
Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source-Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht



Revenera hat den neuen "State of Open Source License Compliance" Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits in 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.

Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.

Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:

Mehr OSS, mehr Risiko
Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196 Prozent). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58 Prozent.

Fehleinschätzung bei der OSS-Nutzung
Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4 Prozent bekannt waren, gehen tatsächlich 55 Prozent der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10 Prozent im Vergleich zum letzten Jahr.

Doppelt so viele Sicherheitslücken
Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46 Prozent ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System).

Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
Rund 5 Prozent der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.

Deep Code Scanning vs. High-Level
Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37 Prozent der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28 Prozent. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34 Prozent der kritischen Fälle ans Licht kamen.

Vorsicht bei Copyleft
Die Copyleft Lizenzierung wird oft mit "freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12 Prozent bzw. 20 Prozent der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.

"Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken", erklärt Alex Rybak, Director Product Management bei Revenera. "Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken."
(Revenera: ra)

eingetragen: 14.03.21
Newsletterlauf: 25.05.21

Revenera: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Unternehmen

  • Lösungsansätze gegen den GenAI-Gender Gap

    Frauen drohen bei Künstlicher Intelligenz (KI), die bis 2030 allein in Deutschland 3 Millionen Jobs verändern könnte, ins Hintertreffen zu geraten. So zeigen aktuelle Zahlen von Coursera, dass lediglich 27 Prozent der Lernenden in Generative-AI (GenAI)-Kursen in Deutschland (102.000 Einschreibungen) weiblich sind. Dies liegt noch unter dem weltweiten Durchschnitt von 32 Prozent und reicht im Ländervergleich gerade für einen Platz in den Top-Ten (Platz 9). Und das, obwohl sich allein auf Coursera im vergangenen Jahr weltweit alle 10 Sekunden jemand in einen GenAI-Kurs einschrieb.

  • Rote Linien für die zukünftige Nutzung von KI

    Laut einer aktuellen Studie von NTT Data droht eine Verantwortungslücke die durch KI möglich gewordenen Fortschritte zu untergraben. Mehr als 80 Prozent der Führungskräfte räumen ein, dass Führungsfähigkeiten, Governance und die Bereitschaft der Mitarbeitenden nicht mit den Fortschritten der KI mithalten können. Das gefährdet Investitionen, Sicherheit und das Vertrauen der Öffentlichkeit.

  • Europas Sanktionslandschaft

    Die Durchsetzung der europaweiten Datenschutz-Gesetzgebung hat einen neuen Höchststand erreicht: Erstmals überschreiten die öffentlich bekannten Bußgelder in Europa die Marke von fünf Milliarden Euro. Seit Inkrafttreten der General Data Protection Regulation (GDPR) im Mai 2018 wurden bis März 2025 insgesamt rund 5,65 Milliarden Euro an Strafen verhängt - ein Plus von 1,17 Milliarden Euro im Vergleich zum Vorjahr. Diese Rekordsumme spiegelt wider, wie stark sich die europäische Sanktionspraxis in den vergangenen Jahren entwickelt hat.

  • Absicherung unternehmerischer Entscheidungen

    Die zunehmende Regulierungsdichte mit immer neuen Vorschriften erschwert Vorständen und Aufsichtsräten die rechtliche Einschätzung unternehmerischer Entscheidungen und bremst unternehmerisches Handeln. Das Deutsche Aktieninstitut und die Anwaltskanzlei Gleiss Lutz haben die Studie "Absicherung unternehmerischer Entscheidungen - Entscheidungsfindung in unsicheren Zeiten" veröffentlicht.

  • Herausforderung: Datenschutz & geteilte Geräte

    Die Digitalisierung schreitet in der Transport- und Logistikbranche stetig voran und macht Prozesse innerhalb der Lieferkette immer transparenter und damit nachvollziehbarer. So kam die jüngste Studie "Digitale Innovationen: Was die Transport- und Logistikbranche jetzt braucht" von SOTI zu dem Ergebnis, dass sich 80 Prozent (weltweit 78 Prozent) der deutschen Arbeitnehmenden im T&L-Bereich durch die technische Nachverfolgbarkeit von Waren, für die sie im Rahmen ihrer Tätigkeit Verantwortung tragen, sicherer fühlen. Gleichzeitig empfinden jedoch 61 Prozent das Tracking dienstlicher Geräte als Eingriff in ihre Privatsphäre (weltweit 55 Prozent).

Phänomen: Ablehnung von Wechselkunden Valide Finanzdaten wichtig für COVID-Management

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen