Veraltete OSS gefährdet die Sicherheit in vielen Unternehmen

Open Source Software (OSS) hat sich in den vergangenen Jahren immer weiter durchgesetzt und ist in den meisten Unternehmensanwendungen zu finden. Obwohl die berüchtigte Schwachstelle in der Java-Bibliothek Log4j die Verwendung und Sicherheit von OSS in den Vordergrund gerückt hat, zeigt der Open Source Security & Risk Analysis (OSSRA) Report 2022 des IT-Dienstleisters Synopsys, dass 88 Prozent der Unternehmen veraltete OSS-Komponenten einsetzen - auch wenn bereits Updates verfügbar sind.

Für die Analyse untersuchte das Research-Team die anonymisierten Ergebnisse von mehr als 2.400 kommerziellen Codebasen in 17 Branchen. Davon wurden 2.097 nach ihren Sicherheits- und Betriebsrisiken ausgewertet. Den Ergebnissen zufolge handelt es sich bei 85 Prozent der überprüften Codebasen um Open-Source-Komponenten, die seit mehr als vier Jahren nicht mehr auf den neuesten Stand gebracht wurden.

Zwei Dritteln der OSS-Anwendungen ohne Upgrades

Zudem stellten die Forscher fest, dass 66 Prozent der OSS in den vergangenen zwei Jahren keine Entwicklungsaktivität aufwiesen, das heißt, es gab demnach keine Funktions-Upgrades, keine Codeverbesserungen und keine gefixten Sicherheitsprobleme.

Wie Tim Mackey, Principal Security Strategist am Synopsys Cybersecurity Research Center, erklärt, gibt es zwar "durchaus berechtigte Gründe, warum man Software nicht komplett auf dem neuesten Stand hält. Aber wenn Firmen auf eine präzise und aktuelle Inventarisierung der im Code verwendeten Open-Source-Software verzichten, können veraltete Komponenten in Vergessenheit geraten."

Dadurch würden sie für hochriskante Sicherheitslücken anfällig, warnt der Experte. Unternehmen müssten unter Hochdruck herausfinden, wo die besagte Komponente verwendet wird, um sie aktualisieren zu können. "Genau das ist bei Log4j passiert. Deshalb sind Software-Lieferketten und eine Software Bill of Materials (SBOM) zu zentralen Themen geworden."

Nach den Angaben der Synopsys-Forscher weisen 81 Prozent der Software-Komponenten mindestens eine Schwachstelle auf - 49 Prozent mit hohem Risiko. 15 Prozent enthielten demnach die anfällige Log4j-Komponente. Darüber hinaus würden mehr als die Hälfte (53 Prozent) der Codebasen Lizenzprobleme aufweisen.

Die Verwendung von OSS nimmt immer weiter zu

Wie Boris Cipot, Senior Sales Engineer bei Synopsys, betont, steigt von Jahr zu Jahr die Abhängigkeit von Software , die nicht Eigentum der Unternehmen ist, sondern von Drittanbietern stammt. "Es gibt nicht nur mehr Software, die OSS verwendet, sondern es steigt auch der prozentuale Anteil von OSS in einer Software. Wir haben in der diesjährigen Analyse gesehen, dass 97 Prozent der analysierten Software OSS verwendet", fügt Cipot hinzu.

Die Lizenzkonflikte würden jedoch im Vergleich zu den Sicherheitsrisiken eher das geringere Problem darstellen, so der Sales-Experte. Software-Schwachstellen seien nicht nur gefährlich für das Unternehmen, das sie entwickelt, sondern auch für alle seine Kunden und Partner.

Lesetipp: Log4j – ist Open Source das Problem?