Revenera Statusreport 2021 zu Open Source Lizenzierung und Compliance

Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software mit 1.959 Vorfällen pro Audit im Vergleich zum Vorjahr verdreifacht

[datensicherheit.de, 28.01.2021] Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, hat den neuen „State of Open Source License Compliance“ Report veröffentlicht. Die Experten für Software Composition Analysis analysierten Daten aus Audits im Jahr 2020, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen, potenzielle Compliance- und Sicherheits-Risiken zu identifizieren und in einem Statusreport zusammenzufassen.identifizieren.

Auswertung von mehr als 1,2 Milliarden Codezeilen

Für die branchenübergreifende Studie untersuchte Revenera die identifizierten OSS-Komponenten sowohl auf die Einhaltung der Compliance-Vorgaben als auch auf bekannte Vulnerabilities. Insgesamt werteten die Audit-Teams mehr als 1,2 Milliarden Codezeilen aus und stießen auf 174.334 kritische Fälle. Damit findet sich in Softwareprodukten mit OOS-Komponenten durchschnittlich alle 12.126 Codezeilen ein Compliance-Verstoß oder eine Sicherheitsschwachstelle.

Kritische Compliance-Fälle, Bild: Revenera

Die wichtigsten Ergebnisse des Flexera Open Source-Reports 2021 im Überblick:

• Mehr OSS, mehr Risiko
  Bei jedem Audit entdeckten die Analysten im Schnitt 1.959 kritische Fälle. Im Vergleich zu Vorjahr (2019: 662) hat sich die Zahl damit fast verdreifacht (+196%). Der Anstieg ist unter anderem auf die wachsende Beliebtheit von Repositories und Paketsystemen wie Python Package Index (PyPI), npm (Java Script) und RubyGems zurückzuführen, mit denen automatisch mehr Abhängigkeiten in die Codebasis von Entwicklern gelangen. Die Anzahl von Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen, stieg im Vergleich zum Vorjahr um 58%.
• Fehleinschätzung bei der OSS-Nutzung
  Nach wie vor tun sich Unternehmen schwer das Ausmaß der Open Source-Nutzung richtig einzuschätzen. Während vor Beginn des Auditprozesses gerade einmal 4% bekannt waren, gehen tatsächlich 55% der untersuchten Codebasis auf OSS-Komponenten zurück – eine Steigerung von 10% im Vergleich zum letzten Jahr.
• Doppelt so viele Sicherheitslücken
  Im Rahmen von forensischen sowie Standard-Audits identifizierten die Analysten im Schnitt 89 Schwachstellen pro Audit (2019: 45). Von den aufgedeckten Schwachstellen stellten 46% ein „hohes“ CVSS-Risiko dar (Common Vulnerability Scoring System).
  Jeder achte Compliance-Verstoß hat Prioritätsstufe 1
  Rund 5% der Vorfälle wurden als kritische Compliance-Risiken (Prioritätsstufe 1) eingestuft, die damit ein unmittelbares Risiko darstellen und ein schnelles Handeln erfordern. Insgesamt fand das Revenera Audit-Team über 9.000 P1-Verstöße. Pro Audit wurden so 130 Probleme mit der Lizenzeinhaltung aufgedeckt, die die sofortige Aufmerksamkeit der Unternehmen erforderten, darunter schwere Verstöße gegen Copyleft-Lizenzen, die APGL und GPL.
• Deep Code Scanning vs. High-Level
  Standard Audits, die in der Regel nur explizite P1-Lizenzverstöße und große Komponenten von Drittanbietern untersuchen, identifizierten 37% der kritischen Fälle. Bei tiefergreifenden, forensischen Audits entdeckten die Analysten 28%. Eine Besonderheit zeigt sich bei gezielten Audits, die gewöhnlich nur bestimmte Teilbereiche der Codebasis prüfen: Hier nahm die Anzahl der Audits insbesondere in der zweiten Jahreshälfte 2020 auf Grund verstärkter Merger & Acquisition Aktivitäten zu, wobei 34% der kritischen Fälle ans Licht kamen.
• Vorsicht bei Copyleft
  Die Copyleft Lizenzierung wird oft mit „freier Software” gleichgesetzt. Tatsächlich verpflichtet die Klausel Lizenznehmer jedoch dazu Änderungen und Erweiterungen unter die Lizenz des ursprünglichen Werks zu stellen. Das gilt nicht nur für Strong Copyleft, sondern unter Umständen auch für Weak Copyleft (eingeschränktem Copyleft-Effekt). Ganze 12% bzw. 20% der untersuchten Codebasis unterliegen Strong bzw. Weak Copyleft.

Lizenztypen für Open Source, Bild: Revenera

„Die Nutzung von Open Source Software steigt seit Jahren. Das hat einen einfachen Grund: Wer sich heute auf seine Kernkompetenzen als Softwareentwickler fokussieren und seine Produkte schnell auf den Markt bringen will, kommt an Open Source Software nicht vorbei. Doch diese Schnelligkeit und Flexibilität birgt auch Risiken“, erklärt Alex Rybak, Director Product Management bei Revenera. „Bei unseren Audits erleben wir immer wieder, wie wichtig ein automatisiertes Open-Source-Management für Unternehmen tatsächlich ist. Bei allen strategischen Vorteilen von OSS braucht es Prozesse und Lösungen, um den Code Churn über den gesamten Entwicklungsprozesses hinweg zu überwachen und alle identifizierten Probleme zu adressieren – sowohl was die Compliance angeht als auch neue Sicherheitslücken.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.12.2020
Risiko durch Browser-Erweiterungen von Drittanbietern

revenera
2021 Open Source License Compliance Report