Open-Source-Sicherheit 2022: Snyk und die Linux Foundation veröffentlichen umfassende Studie
June 21, 2022
0 Min. LesezeitOpen-Source-Software ist aus der modernen Anwendungsentwicklung quasi nicht mehr wegzudenken. Mit ihrer Kernprämisse eines freien Austauschs von Ideen innerhalb der Dev-Community hat sie eine neue Ära eingeläutet, die Software nicht nur funktionaler, sondern auch schneller umsetzbar macht als je zuvor. So beinhalten den meisten Schätzungen zufolge inzwischen 70 bis 90 % aller Software-Produkte Code aus Open-Source-Paketen.
Genutzt werden ihre Vorteile zur schnelleren Produktumsetzung dabei nicht nur für proprietäre Software, sondern auch von der Open-Source-Community selbst: Viele Open-Source-Bibliotheken bauen aufeinander auf und bilden so ein komplexes Gefüge aus sogenannten indirekten bzw. transitiven Abhängigkeiten. Im Kontext ihrer Nutzung ist dies insbesondere mit Blick auf die Sicherheit von Bedeutung. Denn damit einher gehen diverse Ebenen innerhalb ihres Anwendungscodes, die allesamt das Risiko von Schwachstellen bergen. Und das ist enorm, wie etwa der Fall von Log4Shell erst kürzlich zeigte. Umso wichtiger sind daher sorgfältige Planung sowie adäquate Regelwerke, mittels derer sich die potenziell mit Open-Source-Bibliotheken verbundene Angriffsfläche effektiv verkleinern lässt. Ebenso braucht es dabei zielführende Tools, die es Entwicklern nicht nur erleichtern, erkannte Schwachstellen zu beheben, sondern auch mit neu aufkommenden Bedrohungen Schritt zu halten.
Vor dem Hintergrund der zunehmenden Nutzung von Open-Source-Software und den damit verbundenen Komplexitäten wollten wir herausfinden, inwieweit Unternehmen über die nötigen Strukturen zur Erkennung, Mitigierung und Reduzierung der genannten Risiken verfügen. Gemeinsam mit der Linux Foundation haben wir dazu eine umfassende Studie durchgeführt, deren Ergebnisse wir heute im Rahmen des State of Open Source Security Report 2022 vorstellen.
Ergebnisse zeichnen düsteres Bild
Neben enormen Risiken im Zusammenhang mit der weit verbreiteten Nutzung von Open-Source-Software führt die Studie auch zutage, dass Unternehmen derzeit nur schwach für ihre Bewältigung aufgestellt sind. Besonders deutlich machen dies folgende Ergebnisse:
41 % der Unternehmen haben nur geringes Vertrauen in die Sicherheit ihrer Open-Source-Software.
Im Schnitt weisen derzeit in der Entwicklung befindliche Anwendungen 49 Schwachstellen und 69 Abhängigkeiten auf.
Die Behebung von Schwachstellen in Open-Source-Projekten wird immer zeitaufwändiger, hat sich von 49 Tagen 2018 auf 110 Tage im Jahr 2021 mehr als verdoppelt.
Mit 51 % fehlt es gut der Hälfte der Unternehmen an Sicherheits-Policies für die Entwicklung mit oder die Nutzung von Open-Source-Software.
Bei 30 % der Befragten, die nicht über entsprechende Policies verfügen, ist auch niemand im Team explizit mit dem Thema betraut.
Womöglich noch wichtiger ist jedoch die Erkenntnis, dass bei vielen Unternehmen noch immer weitgehend Unwissen über das gesamte Ausmaß potenzieller Schwachstellen in Open-Source-Paketen besteht. Ausdruck findet dies insbesondere auch im Fehlen an Policies, durch die sich ihre Nutzung effektiver würde absichern lassen. Der heute so wichtige Gedanke, Sicherheit in diesem Kontext enger mit dem Prozess der Software-Entwicklung zu verzahnen, ist bislang also erst bei wenigen angekommen.
Gesichert dürfte sein, dass die Nutzung von Open-Source-Software auch in Zukunft weiter zunehmen wird. Klarheit darüber, welche Risiken in diesem Zusammenhang bestehen und wie sie sich vermeiden lassen, bleibt daher wichtige Kernanforderung. Wer sich die Effizienzvorteile von Open-Source-Paketen also zunutze machen will, sollte zuallererst prüfen, wie sich Sicherheit dabei effektiv gewährleisten lässt. Der ideale Ansatzpunkt und zugleich die besten Stellschrauben hierfür liegen in Tooling und Policies.
Eckdaten zum Report
Der State of Open Source Security Report 2022 ist ein Kooperationsprojekt zwischen Snyk und der Linux Foundation mit Unterstützung der Open Source Security Foundation, der Cloud Native Security Foundation sowie der Continuous Delivery Foundation und der Eclipse Foundation. Neben einer Umfrage, die im ersten Quartal 2022 mit 550 Teilnehmern durchgeführt wurde, liegen dem Report Scan-Daten von Snyk Open Source aus mehr als 1,3 Milliarden Open-Source-Projekten zugrunde.