Die Black Duck On-Demand-Audits von 2017 zeigen, dass Unternehmen erhebliche Schwierigkeiten haben, Open Source effektiv zu identifizieren und zu sichern. Insbesondere in der Telekommunikations- und Mobilfunkbranche waren 100% der Anwendungen von Lizenzkonflikten betroffen, und im Durchschnitt wurden 64 Schwachstellen pro Codebasis entdeckt. Open Source ist für die Anwendungsentwicklung entscheidend, birgt jedoch Risiken, die Unternehmen oft ineffektiv angehen.

1. Black Duck On-Demand-Audits von über 1.100
kommerziellen Anwendungen im Jahr 2017
verdeutlichen die ständigen Herausforderungen, vor
denen Unternehmen stehen, um Open Source effektiv
zu erkennen und zu sichern.
Wenn Unternehmen verwendete Open-Source-Anteile nicht
kennen, können sie sich auch nicht gegen Angriffe
schützen, die auf Schwachstellen in diesen Komponenten
abzielen. Sie setzen sich der Gefahr von Lizenzverletzungen
und dem Verlust geistigen Eigentums aus.
Jede Branche nutzt
Open-Source-Komponenten
Virtual Reality, Gaming, Unterhaltung, Medien
Telekommunikation,Mobilfunk
Einzel- und Onlinehandel
Marketing Technology
Fertigung, Industrie, Robotik
Internet, Software-Infrastruktur
Internet der Dinge
Internet, Mobile Apps
Gesundheitswesen, HealthTech, Biowissenschaften
Finanzdienstleistungen, FinTech
Unternehmenssoftware, SaaS
Energie- und Umwelttechnik
EduTech
Cybersicherheit
Computer Hardware, Halbleiter
Big Data, AI, BI, Machine Learning
Luft- und Raumfahrt, Automotive, Transport/Logistik 53%
45%
74%
36%
45%
11%
46%
27%
48%
57%
77%
65%
32%
76%
71%
64%
70%
Die gebräuchlichsten Komponenten mit
hohem Risiko waren Zlib, Pivotal Spring
Framework und Apache Tomcat.
Open Source ist
sowohl in
kommerziellen als
auch internen
Anwendungen
allgegenwärtig.
Viele Anwendungen enthalten heute
mehr Open Source als proprietären Code.
Durchschnittlicher Anteil
von Open Source pro
Codebasis
Vergleichswert
OSSRA 2017
57% 36%
Open-Source-
Komponenten
unterliegen einer
von etwa 2.500
Open-Source-Lizenzen.
In der Telekommunikations- und
Mobilfunkbranche enthielten 100%
der Anwendungen Lizenzkonflikte.
der Codebasen enthielten
Komponenten mit
Lizenzkonflikten
aller Anwendungen
enthielten GNU General
Public License
(GPL)-Konflikte
74% 44%
Im Schnitt waren die
entdeckten
Schwachstellen seit
6 Jahren bekannt.
Diese beinhalteten bekannte
Schwachstellen wie Heartbleed,
Logjam, Freak, Drown und Poodle.
der Codebasen enthielten
längst bekannte und
publizierte
Schwachstellen
der Codebasen, die Apache
Struts enthielten, zeigten sich
anfällig für die seit dem
Equifax-Hack bekannte
Sicherheitslücke
CVE-2017-5638
17% 33%
Unternehmen
behandeln
Open-Source-
Bedrohungen ineffektiv.
2017 wurden über 4.800
Open-Source-Schwachstellen gemeldet. der Codebasen enthalten
mindestens eine
Schwachstelle
Im Schnitt waren es 64
Schwachstellen pro
Codebasis
78%
Open Source ist für
die Anwendungs-
entwicklung
unerlässlich.
der Anwendungen
enthalten
Open-Source-Anteile
Open-Source-
Komponenten gefunden
96%
Pro Codebasis wurden im Schnitt
The Synopsys difference
Die Synopsys Software Integrity Group unterstützt Organisationen bei der Erstellung sicherer und
hochqualitativer Software, welche Risiken senkt und Tempo sowie Produktivität erhöht. Synopsys ist
anerkannter Marktführer in Applikationssicherheit, stellt statische Analysen, Software Composition
Analysis (SCA) sowie dynamische Analysen zur Verfügung, die Teams dabei helfen, Schwachstellen
schnell zu finden und zu beheben sowie Fehler in proprietärem und Open-Source-Code als auch
Applikationsverhalten zu beheben. Mit einer Kombination aus industrieführenden Tools,
Dienstleistungen und Expertenwissen gelingt es Synopsys, Sicherheit und Qualität in DevSecOps zu
steigern und im gesamten Entwicklungszyklus von Software zu etablieren.
Erfahren Sie mehr unter www.synopsys.com/software.
Open-Source-
Sicherheits- und
Risikoanalyse 2018
Über COSRI
Das Synopsys Center für Open Source Research & Innovation (COSRI) setzt seine
Open-Source-Expertise und qualifizierte Teams ein, um modernste Open-Source-Sicherheit,
Machine Learning und Data-Mining-Forschung durchzuführen sowie die sichere Nutzung von
Open Source und damit einhergehend ständige Innovationen zu ermöglichen.
IoT-Anwendungen
bestanden zu
Sie enthielten im Schnitt
Unternehmen,
die beabsichtigen
IoT-Technologie zu
nutzen, müssen Open
Source mit ins Kalkül
ziehen.
aus Open-Source-
Komponenten
Schwachstellen
pro Codebasis
77%
Das Internet der Dinge (IoT) umfasst
eine breite Palette an Geräten, vom
intelligenten Kühlschränk bis zur
Insulinpumpe.
Open Source senkt Entwicklungskosten,
beschleunigt die Markteinführung und
steigert die Innovationskraft sowie
Produktivität von Entwicklern.