Die neunte Ausgabe des jährlichen Berichts »Open Source Security and Risk Analysis« (OSSRA) von Synopsys weist aus, dass 74 % der kommerziellen Codebasen, die auf ihr Risiko hin untersucht wurden, Open-Source-Komponenten enthalten, die von hochriskanten Schwachstellen betroffen sind. Das entspricht einem Anstieg von 54 % gegenüber dem Vorjahr. Auch wenn die Automotive-Codebasen weniger hochriskante Schwachstellen aufweisen als die anderer Industrien, sind immerhin noch 33 Prozent der Basen davon betroffen.
Für den Bericht wurden anonymisierten Ergebnisse von mehr als 1.000 kommerziellen Codebase-Audits in 17 Branchen durch das Synopsys Cybersecurity Research Center (CyRC) analysiert.
Während die Zahl der Codebases, die mindestens eine Open-Source-Schwachstelle enthalten, mit 84 % im Vergleich zum Vorjahr konstant blieb, enthielten 2023 laut der Studie deutlich mehr Codebasen hochriskante Schwachstellen. Dies kann möglicherweise auf die marktbedingten Entlassungen von Technikern zurückgeführt werden, wodurch weniger Ressourcen für die Behebung von Schwachstellen zur Verfügung stehen.
Weitere zentrale Aussagen des Berichts:
- Zombie-Code-Apokalypse: 91 % der Codebases enthielten Komponenten, die zehn oder mehr Versionen veraltet waren, und 49 % der Codebases enthielt Komponenten, für die es in den letzten zwei Jahren keine Entwicklungsaktivitäten gab.
- Hochriskante Open-Source-Schwachstellen sind in alle wichtigen Branchen stark verbreitet.
- Lizenzierung von Open-Source bleibt weiter problembehaftet.
- Die häufigste Open-Source-Schwachstellen gehören der Kategorie »Unzulässige Neutralisierung« (CWE-707) an. Darunter fallen verschiedenen Formen des Cross-Site-Scripting, die schwerwiegende Folgen haben können, wenn sie ausgenutzt werden.
(jr)
