Black Duck: Open Source ist allgegenwärtig – und gefährlich
20.4.2017 - Zahlreiche kommerzielle Anwendungen nutzen Open-Source-Komponenten – häufig allerdings in so alten Versionen, dass sie Sicherheitslücken mitbringen.
Kaum eine Software kommt noch ohne Open-Source-Komponenten aus. Das ist ein Kernergebnis der
Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2017, für die der Spezialist für Open-Source-Audits Black Duck Software über 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht hat. Hier eine Zusammenfassung der Resultate:
- Im Schnitt stammte ein gutes Drittel des Codes aus Open-Source-Projekten.
- Oft werden Versionen mit bekannten Sicherheitslücken, darunter auch Schwachstellen mit einem hohen Risiko, eingesetzt.
- Viele der Lücken sind alte Bekannte: Selbst der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch in 1,5 Prozent der untersuchten Anwendungen.
- Zudem sind beim Einsatz von Open-Sourcre-Software Lizenzprobleme häufig. Laut Black Duck nutzen über 85 Prozent der Anwendungen Open Source, ohne deren Lizenzbestimmungen vollständig einzuhalten.
Die komplette Studie steht nach einer Registrierung bei Black Duck Software zum Download zur Verfügung. (odi)
Quelle: heise.de