Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Mindestens eine Open-Source-Schwachstelle in 84 % der Codebasen gefunden
Rohan Timalsina
März 22, 2023 - TuxCare-Expertenteam
In dem aktuellen Szenario, in dem fast alle Software Open-Source-Code verwendet, wurde in 84 % der Software mindestens eine bekannte Open-Source-Schwachstelle entdeckt. Die Forscher des Anwendungssicherheitsunternehmens Synopsys untersuchten und fanden Schwachstellen in allen kommerziellen und proprietären Codebasen.
Darüber hinaus entdeckten die Forscher von Synopsys, dass in 48 % der analysierten Codebasen hochriskante Schwachstellen vorhanden waren. Diese Schwachstellen wurden bereits aktiv ausgenutzt, haben bereits dokumentierte Proof-of-Concept-Exploits oder werden als Schwachstellen für die Remote-Code-Ausführung eingestuft.
Der Bericht " Open Source Security and Risk Analysis (OSSRA) 2023" von Synopsys enthält Daten über die Einhaltung von Open-Source-Lizenzen und Informationen über Sicherheitslücken. Darüber hinaus führte das Audit Services-Team von Synopsys die Prüfungen von Code-Basen durch, die in Fusions- und Übernahme-Transaktionen enthalten waren. Der Bericht zeigt Trends in der Open-Source-Nutzung in 17 verschiedenen Branchen auf.
Insgesamt wurden 1.481 Codebasen auf Schwachstellen und die Einhaltung von Open-Source-Lizenzen untersucht, während weitere 222 Codebasen ausschließlich auf die Einhaltung der Vorschriften geprüft wurden.
Open-Source-Schwachstellen nehmen zu
Der OSSRA-Bericht zeigt, dass die Zahl der bekannten Open-Source-Schwachstellen gegenüber dem Vorjahr um 4 % gestiegen ist. Alle in der Studie untersuchten Code-Basen stammen von Unternehmen aus der Luft- und Raumfahrt, der Automobilindustrie, dem Transportwesen und der Logistikbranche. Insgesamt wird festgestellt, dass 73 % des gesamten Codes Open-Source-Code enthält.
Aus dem OSSRA-Bericht geht auch hervor, dass der Anteil von Open-Source-Code an den Codebasen in den letzten fünf Jahren in allen vertikalen Branchen gestiegen ist. Zwischen 2018 und 2022 stieg der Anteil von Open-Source-Code an den untersuchten Codebasen im Bereich Bildungstechnologie um 163 %.
In den Sektoren Luft- und Raumfahrt, Automobil, Transport und Logistik stieg er um 97 %. In der verarbeitenden Industrie und in der Logistikbranche stieg der Prozentsatz um 163 %.
Dem Bericht zufolge ist die Zahl der Sicherheitslücken mit hohem Risiko in allen Branchen gestiegen. Unternehmen in der Luft- und Raumfahrt, der Automobilindustrie, im Transportwesen und in der Logistik verzeichneten innerhalb von 5 Jahren einen Anstieg der risikobehafteten Schwachstellen um 232 %. Hochriskante Schwachstellen in IoT-bezogenen Codebasen haben seit 2018 um 130 % zugenommen.
In 63 % aller Codes mit einem CVSS-Schweregrad von 7 oder höher wurden mehrere hochriskante Schwachstellen entdeckt. Im Energie- und Cleantech-Sektor waren 78 % des gesamten Codes quelloffen, und davon wiesen 69 % risikoreiche Schwachstellen auf.
Patches verfügbar, aber nicht angewendet
Von den 1.481 Codebasen, die von den Forschern analysiert wurden, wiesen 91 % veraltete Versionen von Open-Source-Komponenten auf. Dies bedeutet, dass ein Update oder Patch verfügbar war, aber nicht angewendet wurde.
Eine mögliche Erklärung dafür ist, dass DevSecOps-Teams das Risiko unbeabsichtigter Konsequenzen für größer halten als die potenziellen Vorteile der Anwendung der neueren Version. Darüber hinaus vermuten die Forscher, dass auch Zeit und Ressourcen eine Rolle spielen könnten.
In dem Bericht wurde hervorgehoben, dass DevSecops-Teams möglicherweise nicht wissen, dass neuere Versionen von Open-Source-Komponenten verfügbar sind. In einigen Fällen wissen sie nicht einmal von der Existenz dieser Komponenten.
Software-Stücklisten (SBOMs)
Dem Bericht zufolge kann die Verwendung einer Software Bill of Materials (SBOM) Unternehmen dabei helfen, Sicherheitslücken zu vermeiden und Open-Source-Code auf dem neuesten Stand zu halten.
Eine umfassende SBOM gruppiert alle Open-Source-Komponenten, die in Anwendungen verwendet werden, zusammen mit Informationen über Lizenzen, Versionen und Patch-Status. Durch die Erstellung einer SBOM für Open-Source-Komponenten können Unternehmen risikoreiche Komponenten schnell identifizieren und die notwendigen Abhilfemaßnahmen effektiv priorisieren.
Diese Statistiken über Open-Source-Schwachstellen sind besorgniserregend, da sie darauf hindeuten, dass viele Unternehmen entscheidende Maßnahmen zum Schutz ihres Codes vernachlässigen, was sie potenziellen Sicherheitsbedrohungen aussetzen kann. Durch den Einsatz geeigneter Tools und die Einrichtung effektiver Prozesse können Unternehmen ihren Code schützen und sich vor möglichen Sicherheitsverletzungen bewahren.
Zu den Quellen für diesen Artikel gehört ein Bericht von CSO.
