Sicherheitsrisiko Open Source: OSS-Projekte sind oft schlecht gepflegt

Foto: LeoWolfert – shutterstock.com

In seinem am 3. Oktober veröffentlichten 9. Jahresbericht über den Zustand der Software-Lieferkette bewertete Sonatype 1.176.407 Projekte in vier großen Ökosystemen. Das Unternehmen stellte fest, dass die Zahl der aktiv gepflegten Vorhaben in diesem Jahr um 18 Prozent zurückgegangen ist. Demnach werden derzeit nur elf Prozent der Open-Source-Software-(OSS-)Projekte, nämlich genau 118.028, aktiv gepflegt.

Andererseits zeigt der Bericht aber auch, dass manche neue Projekte, die im Jahr 2022 noch keinen Support erhalten hatten, jetzt Support erfahren. Die vier großen Ökosysteme, um die es in diesem Report geht, sind

• JavaScript (über NPM),

• Java (über das Projektmanagement-Tool Maven),

• Python (über den PyPI-Paketindex) und

• .NET (über die NuGet-Galerie).

Auch einige Go-Projekte wurden einbezogen. Dem Bericht zufolge werden 18,6 Prozent der Java- und JavaScript-Projekte, die im Jahr 2022 noch gepflegt wurden, heute links liegen gelassen. Wenig überraschend kann Sonatype nachweisen, dass Open-Source-Projekte, die konsequent gepflegt werden, bei den wichtigsten Best Practices rund um Softwaresicherheit besser abschneiden andere.

Der 62-seitige Bericht kombiniert öffentliche und eigene Daten und Analysen, einschließlich der Aktualisierungsmuster von Abhängigkeiten für mehr als 400 Milliarden Maven-Central-Downloads und Tausende von Open-Source-Projekten. Außerdem enthält er Umfrageergebnisse von 621 Technikern sowie Sicherheitstrends aus den vier wichtigsten Software-Ökosystemen.

Wichtige Ergebnisse des Berichts

• 67 Prozent der Befragten glauben nicht, dass ihre Anwendungen Bibliotheken mit bekannten Schwachstellen nutzen.

• Fast zehn Prozent haben in den letzten zwölf Monaten Sicherheitsverletzungen gemeldet, die auf Open-Source-Schwachstellen zurückzuführen sind.

• 39 Prozent der Unternehmen entdecken Schwachstellen innerhalb von einem bis sieben Tagen. 29 Prozent brauchen dafür mehr als eine Woche und 28 Prozent entdecken sie schon innerhalb eines Tages.

• Für die Behebung von Schwachstellen benötigen 39 Prozent länger als eine Woche.

• Die Nutzung von KI- und Machine-Learning-Softwarekomponenten in Unternehmensumgebungen ist im letzten Jahr um 135 Prozent gestiegen.

• Jeder achte Open-Source-Download weist ein bekanntes Risiko auf.

• Für 96 Prozent der heruntergeladenen Schwachstellen hätte eine bereits korrigierte Version zur Verfügung gestanden.

• Das Wachstum der Anzahl von Open-Source-Downloads hat sich in den letzten zwei Jahren verlangsamt. (hv)