Der neue State of Software Security (SoSS) v11: Open Source Edition Report von Veracode, Anbieter von Anwendungssicherheitstests (AST), zeigt, dass fast 80 Prozent der Open-Source-Bibliotheken von Drittanbietern nach der Aufnahme in eine Codebasis von den Entwicklern nie aktualisiert werden – trotz der Tatsache, dass mehr als zwei Drittel der Fehlerbehebungen geringfügig sind und die Funktionalität selbst der komplexesten Softwareanwendungen nicht beeinträchtigen.
Veracode hat für den Report 13 Millionen Scans von mehr als 86'000 Repositories mit mehr als 301'000 einzigartigen Bibliotheken analysiert und ausserdem fast 2000 Entwickler befragt, um zu verstehen, wie sie Software von Drittanbietern verwenden.
Fast alle Repositories enthalten Bibliotheken mit mindestens einer Sicherheitslücke. "Die grosse Mehrheit der heutigen Anwendungen verwendet Open Source Code", so Chris Eng, Chief Research Officer bei Veracode. "Die Sicherheit einer Bibliothek kann sich schnell ändern. Daher ist es wichtig, eine aktuelle Bestandsaufnahme der in der Anwendung enthaltenen Bibliotheken zu machen. Wir haben festgestellt, dass Entwickler, die sich einmal für eine Bibliothek entschieden haben, diese nur selten aktualisieren. Angesichts der Tatsache, dass Anbieter zunehmend mit Fragen nach der Sicherheit ihrer Lieferkette konfrontiert werden, lässt sich eine Einstellen und Vergessen-Mentalität jedoch nicht länger rechtfertigen. Es ist wichtig, dass Entwickler diese Komponenten auf dem neuesten Stand halten und schnell auf neue Schwachstellen reagieren, sobald diese entdeckt werden."
(swe)
