Open Source Software – Chancen und Herausforderungen
Open Source Software (OSS) ist aus der modernen Software-Entwicklung nicht mehr wegzudenken. Sie ermöglicht Unternehmen, durch die Nutzung bestehender Komponenten Entwicklungszeit und Kosten zu sparen. OSS entsteht oft durch eine weltweite Zusammenarbeit von Experten und wird online frei zugänglich gemacht.
Rechtliche Fallstricke: OSS ist nicht „gemeinfrei“
Viele Unternehmen gehen davon aus, dass Open Source Software frei nutzbar ist und erhoffen sich vor allem Kostenvorteile in der Erstellung eigener IT-Anwendungen. Doch Vorsicht! Das scheinbar „gemeinfreie“ Werk der Community unterliegt dem Urheberrecht. Und jeder Entwickler definiert als Urheber ganz genau, unter welchen Bedingungen seine Software genutzt werden darf.
Dies wird in der Regel durch dem Code beiliegende Lizenzvereinbarungen geregelt. Diese können stark variieren. Manche verpflichten dazu, geänderten Code wieder als Open Source bereitzustellen – was der eigenen Geschäftsstrategie entgegenstehen kann. Daher ist es wichtig, sich mit den Bedingungen vertraut zu machen.
Sicherheitsrisiken durch OSS-Komponenten
Doch nicht nur rechtliche Fallstricke gilt es bei der Verwendung von OSS zu beachten. Denn wie in jeder Software enthalten auch OSS-Komponenten regelmäßig Sicherheitslücken. Die Community entdeckt und behebt diese zwar oft schnell, doch sie werden in Datenbanken wie der National Vulnerability Database (NVD) veröffentlicht. Unternehmen müssen daher genau wissen, welche OSS-Komponenten sie nutzen, um Sicherheitsupdates (Patches) zeitnah einzuspielen.
Bleibt die Open Source Nutzung unüberwacht, steigt das Risiko für Angriffe und Sicherheitsverstöße erheblich.
Fehlendes Open Source Management in Unternehmen
Trotz dieser Risiken verfügen viele Unternehmen über keine formellen Prozesse zur Verwaltung ihrer OSS-Nutzung. Wird dann der Code einer Analyse unterzogen, stellen viele Teams fest, dass ihre Anwendungen viel mehr Open Source-Komponenten mit entsprechendem Risikopotenzial enthalten als ursprünglich gedacht.
Eine Analyse von Revenera zeigt, dass Unternehmen den Umfang ihrer OSS-Nutzung massiv unterschätzen: Die tatsächliche Anzahl der verwendeten Open Source Pakete (rote Balken) übersteigt die geschätzte Nutzung (graue Balken) deutlich. Gleichzeitig steigt der Einsatz von Paketmanagern, die automatisch weitere abhängige OSS nachziehen – oft ohne das Wissen der Entwickler.
Gleichzeitig wurden die Prozesse zum Management von Open Source der Entwicklungsteams in den letzten 10 Jahren jedoch kaum verbessert.
Anzahl bekannter vs. genutzter OSS-Komponenten
(Quelle: Revenera Professional Services Audit Data 2012 – 2020)
Handlungsbedarf: Open Source Management stärken
Obwohl sich die Nutzung von Open Source Software in den letzten Jahren vervielfacht hat, haben sich die Prozesse zum Open Source Management in vielen Unternehmen kaum weiterentwickelt. Die Folgen sind steigende Sicherheitslücken und die Gefahr von Compliance-Verletzungen.
Firmen sollten dringend:
- Einrichtung eines Open-Source-Office oder Ernennung eines OSS-Ansprechpartners.
- Regelmäßige Überprüfung der OSS-Nutzung und Lizenzkonformität.
- Implementierung von Sicherheits- und Compliance-Checks für Open Source Komponenten.
Bitsea – Ihr Partner für sicheres Open Source Management
Bitsea hilft Unternehmen, versteckte Risiken in Softwaresystemen zu identifizieren. Wir unterstützen bei der technischen Due Diligence und sorgen für IT-Compliance. Unsere Beratung umfasst die sichere Nutzung und das effiziente Management von Open Source Software.
Zu unseren Kunden zählen führende Unternehmen aus den Bereichen Automobil, Telekommunikation, Logistik sowie Luft- und Raumfahrt. Als Partner des OpenChain-Projekts setzen wir auf höchste Standards im Open Source Management.