Der quelloffene Code ist schier überall – aber ...

Entwickler hantieren leichtfertig mit Open Source

| Autor / Redakteur: Ludger Schmitz / Ulrike Ostler

Fehlerhafter Code kann zu unerwünschten Nebenwirkungen führen; oftmals missachten Entwickler aber auch Lizenzrechte.
Fehlerhafter Code kann zu unerwünschten Nebenwirkungen führen; oftmals missachten Entwickler aber auch Lizenzrechte. (Bild: © iQoncept - stock.adobe.com)

Fast in jeder Anwendung sind Open-Source-Komponenten. Aber unbedachte Weiterverwendung von quelloffenen Komponenten führt zu Sicherheits- und Lizenzproblemen.

Eines der Argumente für Open Source ist bei Entwicklern offenbar angekommen. Quelloffenen Code wieder zu verwenden spart eine Menge Arbeit und Zeit. Bei der Analyse von mehr als 1.100 kommerziellen Anwendungen entdeckte Black Duck im Jahr 2017 in 96 Prozent der Fälle Open-Source-Komponenten. Und zwar nicht gerade wenig: Im Durchschnitt waren es 257 Komponenten pro Anwendung.

Open-Source-Verbreitung wächst rasant

Es geht nicht darum, dass hier und da mal ein Entwickler ein paar Codezeilen übernimmt. Im Durchschnitt entdeckte die Black-Duck-Analyse 257 Open-Source-Komponenten pro Anwendung. Diese Zahl erhöhte sich gegenüber dem Vorjahr um 75 Prozent. Gleichzeitig stieg der Anteil von Open Source am Gesamtcode von 36 auf 57 Prozent. Das heißt: Insgesamt steckt in neuen Anwendungen seit 2017 mehr Open-Source- als proprietärer Code.

Am häufigsten zu finden waren die Spuren von „Bootstrap“. Dieses Tool zur Entwicklung mit HTML, CSS und Javascript ließ sich in 44 Prozent aller Anwendungen nachweisen. An zweiter Stelle liegt mit 36 Prozent „jQuery“.

Entwickler sind allzu vertrauensselig

Im Prinzip macht die Möglichkeit, Sourcecode zu analysieren, Open Source durch sicherer das Viele-Augen-Prinzip. Das und die zunehmende Verbreitung von Open Source haben auch den Effekt gehabt, dass allein im Jahr 2017 mehr als 4800 Sicherheitsprobleme bei quelloffenem Code bekannt wurden. Jedoch scheinen viele Entwickler sich geradezu vertrauensselig an Open-Source Komponenten zu bedienen.

78 Prozent des von Black Duck analysierten Codes enthielt wenigstens eine Schwachstelle, im Durchschnitt waren es 64 bekannte Angriffspunkte pro Anwendung. Mehr als die Hälfte, 54 Prozent dieser Schwachstellen sind klassifiziert als hoch riskant. 17 Prozent des Gesamtcodes enthielt sogar Risiken, die in der Presse ein dickes Thema waren: Heartbleed, Logjam, Freak, Drown oder Poodle.

Am verbreitetsten war in 13 Prozent des Codes CVE-2016-9878, eine tückische Falle aus dem Pivotal Spring Framework. Logjam fand sich in elf Prozent des Codes. Apache Struts tauchte in acht Prozent auf. Sogar Heartbleed gibt es noch in vier Prozent des Codes – immerhin vier Jahre nach Entdeckung dieses sehr publizierten Falls.

Was kümmern mich Open-Source-Lizenzen?

Open-Source-Lizenzen sind ob ihrer Vielfalt ein leidiges Thema. Aber es sollte gerade bei Programmierung proprietärer Software ein bekanntes sein. Ist es aber nicht. Open Source scheinen Entwickler mit Freeware zu verwechseln.

Initiative für mehr Fairness und Transparenz bei Open-Source-Lizenzen

Optimierung der GNU- und GPL-Lizenzkonformität

Initiative für mehr Fairness und Transparenz bei Open-Source-Lizenzen

29.03.18 - Suse, CA Technologies, Cisco, Facebook, Google, HPE, IBM, Microsoft, Red Hat und SAP arbeiten daran, Open Source-Lizensierungen besser in den Griff zu bekommen. Dafür sollen zusätzliche Rechte zur Behebung von Open-Source-Compliance-Verletzungen eingeräumt werden. lesen

In 85 Prozent der gesamten Codebasis fand Black Duck Lizenzkonflikte oder unbekannte Lizenzen. Genau genommen enthielten 74 Prozent, als drei Viertel des Codes unmittelbare Lizenzkonflikte. Meistens, nämlich bei 44 Prozent waren es Verletzungen der GPL, der verbreitetsten Open-Source-Lizenz.

Die Verbreitung von Sicherheits- und Lizenzproblemen zieht sich durch alle Anwendungszwecke von Software. Spitzenreiter sind allerdings Internet- und mobile Applikationen, die zu 60 Prozent Konflikte in sich bergen. Die höchste Fehlerquote weisen entsprechend Anwendungen für Internet- und Software-Infrastruktur auf. Den Vogel schießen Telekommunikations- und Wireless-Anbieter ab: 100 Prozent des Codes aus dieser Branche enthält Lizenzprobleme.

Black Duck analysiert alljährlich den Code von Unternehmen. Dies ist meistens im Vorfeld von Firmenzusammenschlüssen oder übernahmen nötig. Denn der Softwarebestand einer Firma ist ein nicht unerheblicher Teil ihres Werts. Die zusammengefassten Ergebnisse der Softwareanalysen veröffentlicht Black Duck alljährlich im Rahmen der OSSRA-Studien.

* Ludger Schmitz ist freiberuflicher Journalist in Kelheim.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45312515 / Softwareentwicklung)