Synopsys Open Source Security and Risk Analysis (OSSRA) 2024 74% aller Codebasen enthalten kritische Open-Source-Schwachstellen

Anbieter zum Thema

SYNOPSYS GmbH

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

Analysen für den 9. Open Source Security and Risk Analysis (OSSRA) Bericht von Synopsys hat ergeben, dass annähernd drei Viertel aller kommerziellen Codebasen Open-Source-Komponenten enthalten, die von hochriskanten Schwachstellen betroffen sind. Das ist ein deutlicher Anstieg gegenüber dem Vorjahr.

Im OSSRA-Bericht 2024 analysiert das Synopsys Cybersecurity Research Center (CyRC) die anonymisierten Ergebnisse aus mehr als 1.000 kommerziellen Audits der Codebasen über 17 Branchen hinweg. Der Bericht bietet Sicherheits- und Entwicklungsteams sowie Rechtsabteilungen einen umfassenden Überblick über die aktuelle Open-Source-Landschaft. Dazu zählen auch Trends, wie Open-Source-Software eingeführt und genutzt wird sowie zur Verbreitung von Sicherheitslücken und den Risiken, die mit Softwarelizenzen und der Codequalität verbunden sein können.

Die Zahl der Softwareprojekte, die mindestens eine Open-Source-Schwachstelle enthalten, blieb mit 84 Prozent im Vergleich zum Vorjahr konstant. Allerdings enthielten im zurückliegenden Jahr deutlich mehr Codebasen hochriskante Schwachstellen. Diese Entwicklung geht möglicherweise auf Variablen wie wirtschaftliche Instabilität und die daraus resultierende Entlassung von technischen Fachkräften zurück, wodurch den Unternehmen weniger Ressourcen zur Verfügung standen, um Schwachstellen zu beheben.

Den Daten zufolge stieg der Prozentsatz von Codebasen mit hochriskanten Open-Source-Schwachstellen, die aktiv ausgenutzt wurden. Ebenso wie solche, für die es dokumentierte Proof-of-Concept-Exploits gibt oder die als Schwachstellen mit Remote-Code-Ausführung eingestuft wurden von 48 Prozent im Jahr 2022 auf satte 74 Prozent im Jahr 2023.

Hochriskante Open-Source-Schwachstellen finden sich dabei in allen als kritisch eingestuften Branchen. Die Branche der "Computerhardware und Halbleiter“-Anbieter verzeichnet mit 88 Prozent den höchsten Prozentsatz an Projekten mit hochriskanten Open-Source-Schwachstellen, dicht gefolgt von "Fertigung, Industrie und Robotik" mit 87 Prozent. Eher im Mittelfeld verorten sich "Big Data, KI, BI und maschinelles Lernen", wo 66 Prozent der Softwareprojekte hochriskante Schwachstellen enthalten. Das Schlusslicht bilden "Luft- und Raumfahrt, Automotive, Transport und Logistik". In diesen Branchen sind immerhin noch ein Drittel (33 Prozent) aller Codebasen von hochriskanten Schwachstellen betroffen.

Acht von zehn der häufigsten Schwachstellen gehen auf einen gemeinsamen Schwachstellentypus zurück

Die meisten der im aktuellen OSSRA-Bericht beobachteten Open-Source-Schwachstellen fallen in die Kategorie "Improper Neutralization Vulnerability" (CWE-707). Zu diesem Schwachstellentyp gehören die unterschiedlichen Formen von Cross-Site-Scripting. Wenn solche Schwachstellen ausgenutzt werden, sind die Folgen zumeist schwerwiegend.

Dazu Jason Schmitt, General Manager, Synopsys Software Integrity Group: „Der diesjährige OSSRA-Bericht zeigt einen alarmierenden Anstieg von risikoreichen Open-Source-Schwachstellen, die von Cyberkriminellen ausgenutzt werden können – und das in einer Vielzahl von kritischen Branchen. Der wachsende Druck auf Software Teams, im Jahr 2023 schneller zu arbeiten und mit weniger mehr zu erreichen, hat vermutlich zu diesem starken Anstieg bei Open-Source-Schwachstellen beigetragen. Der Aufmerksamkeit von Cyberkriminellen ist dieser Angriffsvektor nicht entgangen. Umso wichtiger ist es, eine angemessene Software-Hygiene aufrechtzuerhalten. Dabei ist die Identifizierung, Nachverfolgung und effektive Verwaltung von Open Source ein Schlüsselelement, um die Sicherheit der Software-Lieferkette zu gewährleisten.“

Eine „Zombie-Code“-Apokalypse

Unternehmen sind auf veraltete oder inaktive Open-Source-Komponenten angewiesen. 91 Prozent der Softwareprojekte enthielten Komponenten, die seit 10 oder mehr Versionen veraltet waren. Fast die Hälfte (49 Prozent) der Codebasen wies Komponenten auf, die in den letzten zwei Jahren nicht weiterentwickelt wurden. Das Durchschnittsalter von Open-Source-Schwachstellen in den analysierten Codebasen betrug über 2,5 Jahre, und fast ein Viertel von ihnen enthielten Schwachstellen, die sogar älter als 10 Jahre waren.

Lizenzprobleme bei Open Source bleiben bestehen

Lizenzen und die damit verbundenen Vorgaben zu berücksichtigen, ist ein wichtiger Aspekt für ein effektives Software-Supply-Chain-Management. Allerdings konstatiert der OSSRA-Bericht, dass bei über der Hälfte (53 Prozent) aller untersuchten Codebasen Open-Source-Lizenzkonflikte bestehen. Bei 31 Prozent wies der verwendete Code keine erkennbare Lizenz auf oder wurde mit einer angepassten Lizenz benutzt. Erneut liegt hier die Branche "Computerhardware und Halbleiter“-Anbieter mit 92 Prozent auf dem Spitzenplatz, was die Zahl potenzieller Lizenzkonflikte anbelangt, erneut gefolgt von "Fertigung, Industrie und Robotik" mit 81 Prozent. Verwenden Unternehmen auch nur eine einzige nicht konforme Lizenz in einer Software, kann das schwerwiegende Folgen haben. Dazu zählen etwa der Verlust von lukrativem geistigem Eigentum, zeitaufwändige Maßnahmen, um Abhilfe zu schaffen und Verzögerungen bei der Markteinführung von Produkten.

(ID:49899887)