Flexera Statusreport 2020 zu Open Source Lizenzierung
27.02.2020
IT, NewMedia & Software
München, 27. Februar 2020 - Flexera (https://www.flexerasoftware.de/), Anbieter von Lösungen für Softwarelizenzierung, IT-Security und Installation, hat den neuen " State of Open Source License Compliance (https://info.flexerasoftware.com/SCA-WP-License-Compliance-Report)" Report veröffentlicht. Die Experten für Software Composition Analysis (https://www.flexerasoftware.de/protect/business-solutions.html) analysierten Daten aus insgesamt 121 Audits weltweit, um den Umfang an undokumentierter Open Source Software in Unternehmen zu erfassen und potentielle Compliance- und Sicherheits-Risiken zu identifizieren.
Für die branchenübergreifende Studie wertete Flexera mehr als 2,6 Milliarden Codezeilen aus. Die Audit-Teams prüften die identifizierten OSS-Komponenten sowohl auf bekannte Schwachstellen als auch auf die Einhaltung der Compliance-Vorgaben. Dabei entdeckten sie insgesamt 80.157 kritische Fälle - eine Steigerung von 80% im Vergleich zum Vorjahr.
Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2020 im Überblick:
- Open Source-Probleme nehmen zu
Durchschnittlich stießen die Analysten alle 32.600 Codezeilen auf einen Compliance-Verstoß, eine Schwachstelle oder Ähnliches. Bei jedem Audit kommen so im Schnitt 662 kritische Fälle ans Licht. Die Zahl der potenziellen Open Source-Risiken stieg damit im Vergleich zum Vorjahr um 80% ( 2019: 367 (https://www.flexerasoftware.de/about-us/press-center/flexera-veroffentlicht-statusreport-zu-open-source-lizenzierung.html)). Der Anstieg ist unter anderem auf die Anzahl der verwendeten Node.js-Pakete aus NPM-Modulen zurückzuführen ist - ein Trend, der sich 2020 fortsetzen wird.
- Blind bei der Nutzung von Open Source
Unternehmen schätzen die Nutzung von Open Source falsch ein. Tatsächlich gehen 45 Prozent der in den Audits untersuchten Codebasis auf Open-Source-Komponenten zurück. Den Unternehmen waren gerade einmal 1 Prozent dieser Komponenten vor Beginn des Auditprozesses bekannt. Das Fehlen von automatisierten Scan- und Monitoring-Prozessen für Open Source-Komponenten sind ein Grund für diese massive Fehleinschätzung.
- Versäumnisse von Security Scans
Baseline-Audits und Fast Scans liefern nur unzureichende Ergebnisse. Im Rahmen von forensischen Audits werden pro Audit durchschnittlich 6% mehr Compliance-Risiken entdeckt als bei Standard-Audits. Im Vergleich zu gezielten Audits liegt die Trefferquote um 9% höher.
- Kritikalität der Compliance-Verstöße
Rund 17% der Treffer wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Dazu gehören u.a. schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL betreffen. Weitere 5% der entdeckten OSS-Fälle fielen unter Prioritätsstufe 2 (z. B. sekundäre Probleme mit kommerziellen Lizenzen). 76% der Ergebnisse entsprachen der Prioritätsstufe 3, darunter risikoarme Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.
- Häufigkeit von Sicherheits-Schwachstellen
Bei der Auswertung von 91 forensischen und Standard-Audits identifizierten die Analysten im Schnitt 45 Vulnerabilities je Audit. Von den aufgedeckten Schwachstellen stellten 45 Prozent ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System).
"Der Einsatz von Open Source Software nimmt aus gutem Grund weiter zu. Entwickler können ihre Produktivität steigern, die Markteinführung von Produkten beschleunigen und Kosten senken. Sowohl Softwareanbieter als auch ihre Partner und Kunden müssen genau wissen, welche Open Source-Komponenten wie in welchen Produkten enthalten sind. Die steigende Zahl an Compliance-Verstößen, die wir in Audits entdeckt haben, zeigt, wie wichtig eine ganzheitliche Open-Source-Management-Strategie für die gesamte Supply Chain ist", erklärt Brent Pietrzak, SVP und General Manager bei Flexera. "Open Source birgt nicht automatisch mehr Risiken als proprietärer Code. Fehlt es jedoch an der richtigen Dokumentation und Verwaltung kann Open Source schnell zu einem echten Sicherheitsrisiko werden."
http://www.flexerasoftware.de
Flexera
Paul-Dessau-Strasse 8 22761 Hamburg
Pressekontakt
http://www.lucyturpin.com
Lucy Turpin Communications GmbH
Prinzregentenstrasse 89 81675 München
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Nicole Segerer
23.09.2020 | Nicole Segerer
Statusreport zur Softwaremonetarisierung
Statusreport zur Softwaremonetarisierung
28.05.2020 | Nicole Segerer
Rebranding: Flexeras Sparte für Softwarehersteller heißt jetzt Revenera
Rebranding: Flexeras Sparte für Softwarehersteller heißt jetzt Revenera
13.05.2020 | Nicole Segerer
Flexera InstallShield 2020 - Schnelle Installation für Windows®-Anwendungen
Flexera InstallShield 2020 - Schnelle Installation für Windows®-Anwendungen
06.02.2020 | Nicole Segerer
Flexera übernimmt Revulytics
Flexera übernimmt Revulytics
08.01.2020 | Nicole Segerer
Flexera gewinnt IoT Breakthrough Award 2020
Flexera gewinnt IoT Breakthrough Award 2020
Weitere Artikel in dieser Kategorie
24.11.2024 | Leon Wilkens
d.velop Dokumentenmanagement: Effizient, sicher und zukunftsweisend
d.velop Dokumentenmanagement: Effizient, sicher und zukunftsweisend
22.11.2024 | Kubernauts GmbH
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
22.11.2024 | NEXTMINDS
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
22.11.2024 | MovPilot
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
21.11.2024 | FastNeuron Inc
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025