Flexera veröffentlicht Statusreport zu Open Source Lizenzierung
13.02.2019
PC, Information & Telekommunikation
München, 13. Februar 2019 - Flexera (http://www.flexera.de/), Anbieter von Lösungen für Softwarelizenzierung, IT-Security und Installation, hat den neuen " State of Open Source License Compliance (https://info.flexerasoftware.com/SCA-WP-Open-Source-License-Compliance-Report)" Report veröffentlicht. Der Sicherheitsreport zeigt: Während der Anteil von Open Source Software (OSS) zunimmt, sind Unternehmen oft nicht in der Lage die damit verbundenen Lizenz- und Compliance-Verpflichtungen zu erfüllen. Fehlt es jedoch am Management steigt das Risiko - sowohl für die IT-Sicherheit als auch auf finanzieller und rechtlicher Seite.
Für den Report analysierte Flexera Daten aus insgesamt 134 Audits, bei denen der Umfang der Nutzung von Open Source in Unternehmen bis auf Codeebene erfasst wurde. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Die wichtigsten Ergebnisse des Open Source-Reports im Überblick:
- Pro Audit konnte Flexera durchschnittlich 367 kritische Fälle aufdecken. Die große Mehrheit (98%) war den Unternehmen vor Beginn des Audits nicht bekannt.
- Rund 16% der Treffer wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft und erforderten sofortige Gegenmaßnahmen. Dazu gehören u.a. schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL betreffen. Weitere 10% der entdeckten OSS-Fälle fielen unter Prioritätsstufe 2 (z. B. sekundäre Probleme mit kommerziellen Lizenzen). 71% der Ergebnisse entsprachen der Prioritätsstufe 3, darunter risikoarme Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.
- Durchschnittlich stießen die Flexera-Analysten alle 32.873 Codezeilen auf ein Compliance-Risiko, eine Schwachstelle oder Ähnliches. Diese Trefferquote erscheint zwar auf den ersten Blick relativ klein. Berücksichtigt man jedoch die tatsächliche enorme Anzahl an Code, aus denen sich Softwareprodukte zusammensetzen, verändert sich das Bild. So umfasst beispielsweise die Software in modernen Autos durchschnittlich 80-100 Millionen Codezeilen pro Fahrzeug.
- Im Zuge der Auswertung verglich Flexera die Ergebnisse von forensischen Audits im Rahmen von Übernahmen und Fusionen mit weniger tiefgreifenden Baseline-Audits. Das Ergebnis: Bei M&A Audits konnten die Analysten 30% mehr OSS-kritische Fälle der Prioritätsstufe 1 identifizieren. Bei Vorfällen der Prioritätsstufe 2 und 3 waren es sogar 224% bzw. 245% mehr. Insgesamt lieferten Forensic Audits damit doppelt so viele Ergebnisse wie eine oberflächliche Überprüfung auf Open Source.
"Mit dem Trend zu immer schnelleren und agileren Entwicklungsprozessen, werden Compliance- und Sicherheitsfragen beim Einsatz von Open Source oft nicht ausreichend beleuchtet. Das trifft vor allem dann ein, wenn das Unternehmen keine klaren Richtlinien zur Nutzung und Erfassung von OSS vorgibt. Viele Unternehmen verlassen sich auf eine oberflächliche Analyse der verwendeten Komponenten. So bleiben viele Details wie z.B. Snippets, die über Copy und Paste in den Code gelangen verborgen", erklärt Nicole Segerer, Head of IoT DACH bei Flexera. "Zudem gilt es, die gesamte Software Supply Chain im Auge zu behalten. Open-Source-Code stammt in den meisten Fällen aus unterschiedlichen Quellen wie Containern, Build-Dependencies oder Binärdateien. Es geht also nicht nur darum, den eigenen, intern entwickelten Code zu kennen, sondern auch zu wissen, was über externe Partner und Drittanbieter hinzufügt wurde."
Um Compliance-Verpflichtungen einzuhalten und Sicherheitsrisiken von Software-Schwachstellen zu minimieren, ist Unternehmen daher dringend zu raten, klar definierte Richtlinien und Prozesse für die Dokumentation von Open Source einzuführen. Die Implementierung eines formalen Prozesses umfasst unter anderem:
- Interne Richtlinien zum Umgang von Open Source Software
- Stakeholder-Trainingsmaßnahmen zur Schärfung des Sicherheitsbewusstseins
- Automatisierte Software Monitoring- und Scanning-Tools (z. B. Software Composition Analysis)
- Aufbau eines Lieferantenprogramms zur besseren Verwaltung der Anforderungen Dritter
- Gründung eines Open Source Review Board (OSRB)
Den vollständigen " Report State of Open Source License Compliance (https://info.flexerasoftware.com/SCA-WP-Open-Source-License-Compliance-Report)" von Flexera finden Sie hier. Die Infographik steht ebenso zum Download (https://www.lucyturpin.de/wp-content/uploads/2019/02/41_SCA_Infographic_2.pdf) bereit.
http://www.flexera.com
Flexera
Mies-van-der-Rohe-Str. 8 80807 München
Pressekontakt
http://www.lucyturpin.com
Lucy Turpin Communications
Prinzregentenstraße 89 81675 München
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Nicole Segerer
23.09.2020 | Nicole Segerer
Statusreport zur Softwaremonetarisierung
Statusreport zur Softwaremonetarisierung
28.05.2020 | Nicole Segerer
Rebranding: Flexeras Sparte für Softwarehersteller heißt jetzt Revenera
Rebranding: Flexeras Sparte für Softwarehersteller heißt jetzt Revenera
13.05.2020 | Nicole Segerer
Flexera InstallShield 2020 - Schnelle Installation für Windows®-Anwendungen
Flexera InstallShield 2020 - Schnelle Installation für Windows®-Anwendungen
27.02.2020 | Nicole Segerer
Flexera Statusreport 2020 zu Open Source Lizenzierung
Flexera Statusreport 2020 zu Open Source Lizenzierung
06.02.2020 | Nicole Segerer
Flexera übernimmt Revulytics
Flexera übernimmt Revulytics
Weitere Artikel in dieser Kategorie
25.11.2024 | TQ-Group
Pop-Up-Meetingraum für moderne Unternehmen
Pop-Up-Meetingraum für moderne Unternehmen
25.11.2024 | heinekingmedia GmbH
Effiziente Unternehmenskommunikation mit DSBelements
Effiziente Unternehmenskommunikation mit DSBelements
25.11.2024 | Galileo Group AG
Conigma CCM erhält SAP-Zertifizierung
Conigma CCM erhält SAP-Zertifizierung
23.11.2024 | Pro Portfolio Partners
Innovation im Handel: Wie deutsche Investoren von KI-Systemen bei Pro Portfolio Partners profitieren
Innovation im Handel: Wie deutsche Investoren von KI-Systemen bei Pro Portfolio Partners profitieren