74 Prozent der Codebasen enthalten hochriskante Open-Source-SchwachstellenOpen-Source-Schwachstellen legen massiv zu
5. März 2024Annähernd drei Viertel der analysierten kommerziellen Codebasen enthalten Open-Source-Komponenten, die von hochriskanten Schwachstellen betroffen sind. Das ist ein deutlicher Anstieg gegenüber dem Vorjahr. Zu diesem Ergebnis kommt die neunte Ausgabe des jährlichen Open Source Security and Risk Analysis (OSSRA) Berichts.
Im OSSRA-Bericht 2024 analysiert das Synopsys Cybersecurity Research Center (CyRC) die anonymisierten Ergebnisse aus mehr als 1.000 kommerziellen Audits der Codebasen über 17 Branchen hinweg. Der Bericht bietet Sicherheits- und Entwicklungsteams sowie Rechtsabteilungen einen umfassenden Überblick über die aktuelle Open-Source-Landschaft. Dazu zählen auch Trends, wie Open-Source-Software eingeführt und genutzt wird sowie zur Verbreitung von Sicherheitslücken und den Risiken, die mit Softwarelizenzen und der Codequalität verbunden sein können.
Die Zahl der Codebasen, die mindestens eine Open-Source-Schwachstelle enthalten, blieb mit 84 Prozent im Vergleich zum Vorjahr konstant. Allerdings enthielten im zurückliegenden Jahr deutlich mehr Codebasen hochriskante Schwachstellen. Diese Entwicklung geht möglicherweise auf Variablen wie wirtschaftliche Instabilität und die daraus resultierende Entlassung von technischen Fachkräften zurück, wodurch den Unternehmen weniger Ressourcen zur Verfügung standen, um Schwachstellen zu beheben.
Den Daten zufolge stieg der Prozentsatz von Codebasen mit hochriskanten Open-Source-Schwachstellen, die aktiv ausgenutzt wurden. Ebenso wie solche, für die es dokumentierte Proof-of-Concept-Exploits gibt oder die als Schwachstellen mit Remote-Code-Ausführung eingestuft wurden von 48 Prozent im Jahr 2022 auf satte 74 Prozent im Jahr 2023.
„Der diesjährige OSSRA-Bericht zeigt einen alarmierenden Anstieg von risikoreichen Open-Source-Schwachstellen, die von Cyber-Kriminellen ausgenutzt werden können – und das in einer Vielzahl von kritischen Branchen“, stellt Jason Schmitt fest. Für den General Manager bei der Synopsys Software Integrity Group liegt das an dem wachsenden Druck auf Softwareteams, im Jahr 2023 schneller zu arbeiten und mit weniger mehr zu erreichen.
„Der Aufmerksamkeit von Cyber-Kriminellen ist dieser Angriffsvektor nicht entgangen“, fügt Schmitt hinzu. „Umso wichtiger ist es, eine angemessene Software-Hygiene aufrechtzuerhalten. Dabei ist die Identifizierung, Nachverfolgung und effektive Verwaltung von Open Source ein Schlüsselelement, um die Sicherheit der Software-Lieferkette zu gewährleisten.“
Weitere Ergebnisse des OSSRA-Berichts 2024 lauten:
- Eine „Zombie-Code“-Apokalypse – Unternehmen sind auf veraltete oder inaktive Open-Source-Komponenten angewiesen: 91 Prozent der Codebasen enthielten Komponenten, die seit 10 oder mehr Versionen veraltet waren. Fast die Hälfte (49 Prozent) der Codebasen wies Komponenten auf, die in den letzten zwei Jahren nicht weiterentwickelt wurden. Das Durchschnittsalter von Open-Source-Schwachstellen in den analysierten Codebasen betrug über 2,5 Jahre, und fast ein Viertel von ihnen enthielten Schwachstellen, die sogar älter als 10 Jahre waren.
- Hochriskante Open-Source-Schwachstellen finden sich in allen als kritisch eingestuften Branchen: Die Branche der „Computerhardware und Halbleiter“-Anbieter verzeichnet mit 88 Prozent den höchsten Prozentsatz an Codebasen mit hochriskanten Open-Source-Schwachstellen, dicht gefolgt von „Fertigung, Industrie und Robotik“ mit 87 Prozent. Eher im Mittelfeld verorten sich „Big Data, KI, BI und maschinelles Lernen“, wo 66 Prozent der Codebasen hochriskante Schwachstellen enthalten. Das Schlusslicht bilden „Luft- und Raumfahrt, Automotive, Transport und Logistik“. In diesen Branchen sind immerhin noch ein Drittel (33 Prozent) aller Codebasen von hochriskanten Schwachstellen betroffen.
- Lizenzprobleme bei Open Source bleiben bestehen: Lizenzen und die damit verbundenen Vorgaben zu berücksichtigen, ist ein wichtiger Aspekt für ein effektives Software-Supply-Chain-Management. Allerdings konstatiert der Bericht, dass bei über der Hälfte (53 Prozent) aller untersuchten Codebasen Open-Source-Lizenzkonflikte bestehen. Bei 31 Prozent wies der verwendete Code keine erkennbare Lizenz auf oder wurde mit einer angepassten Lizenz benutzt. Erneut liegt hier die Branche „Computerhardware und Halbleiter“-Anbieter mit 92 Prozent auf dem Spitzenplatz, was die Zahl potenzieller Lizenzkonflikte anbelangt, erneut gefolgt von „Fertigung, Industrie und Robotik“ mit 81 Prozent. Verwenden Unternehmen auch nur eine einzige nicht konforme Lizenz in einer Software, kann das schwerwiegende Folgen haben. Dazu zählen etwa der Verlust von lukrativem geistigem Eigentum, zeitaufwändige Maßnahmen, um Abhilfe zu schaffen und Verzögerungen bei der Markteinführung von Produkten.
- Acht von zehn der häufigsten Schwachstellen gehen auf einen gemeinsamen Schwachstellentypus zurück: Die meisten der im aktuellen OSSRA-Bericht beobachteten Open-Source-Schwachstellen fallen in die Kategorie „Improper Neutralization Vulnerability“ (CWE-707). Zu diesem Schwachstellentyp gehören die unterschiedlichen Formen von Cross-Site-Scripting. Wenn solche Schwachstellen ausgenutzt werden, sind die Folgen zumeist schwerwiegend. (rhh)