Versteckte Risiken in Softwaresystemen

18.11.2021

Dr. Andreas Kotulla

Open Source

Dr. Andreas Kotulla

Open Source Software (OSS) ist überall und ist für die moderne Software-Entwicklung unverzichtbar geworden. Neben der enormen Verbreitung zeichnet Open Source Software die besondere Art ihrer Entstehung aus. Ein Großteil wird durch die Zusammenarbeit von Experten mitunter aus der ganzen Welt entwickelt und im Internet zur Verfügung gestellt.

Von dieser besonderen Möglichkeit der verteilten Crowd-Entwicklung erhoffen sich Unternehmen vor allem Kostenvorteile in der Erstellung eigener IT-Anwendungen. Doch Vorsicht! Das scheinbar „gemeinfreie“ Werk der Community unterliegt dem Urheberrecht. Und jeder Entwickler definiert als Urheber ganz genau, unter welchen Bedingungen seine Software genutzt werden darf. Dies wird in der Regel durch dem Code beiliegende Lizenzvereinbarungen geregelt. Diese können sehr unterschiedlich ausgestaltet sein. Daher ist es wichtig, sich mit den Bedingungen vertraut zu machen. Sie können der eigenen Strategie entgegenstehen – beispielsweise durch die Pflicht, den geänderten Code wieder frei zu veröffentlichen.

Doch nicht nur rechtliche Fallstricke gilt es bei der Verwendung von OSS zu beachten. Denn wie in jeder Software werden auch regelmäßig in OSS-Komponenten Sicherheitslücken entdeckt. Sie werden in der Regel durch die Community schnell behoben und in Datenbanken wie der National Vulnerability Database (NVD) veröffentlicht. Es ist daher wichtig zu wissen, welche Komponenten in der eigenen Software eingesetzt werden, so dass diese im Falle von Sicherheitslücken schnell „gepatcht“ werden können. Bleibt eine kontinuierliche Überwachung der OSS aus, kann die Anwendungssicherheit gefährdet werden.

Trotz dieser Risiken geben viele Unternehmen an, dass sie keine formellen Prozesse zur Verfolgung und Verwaltung ihrer OSS-Nutzung einsetzen. Wird dann der Code einer Analyse unterzogen, stellen viele Teams fest, dass ihre Anwendungen viel mehr Open Source-Komponenten mit entsprechendem Risikopotenzial enthalten als ursprünglich gedacht.

Diesen Umstand verdeutlichen Analysen über die Kenntnis der Nutzung von OSS-Komponenten in Firmen. Die nebenstehende Grafik unseres Partners Revenera zeigt, inwieweit Firmen über die eigene Nutzung von OSS informiert sind (graue Balken), und verglichen damit, was sie tatsächlich einsetzen (rote Balken). Seit einigen Jahren lässt sich ein deutlicher Trend beobachten: Die Anzahl der verwendeten Open Source Pakete steigt rapide, Nutzer sind sich dessen aber immer weniger bewusst. Damit steigt die Gefahr, sich unbemerkt oben genannte Risiken ins Haus zu holen.

Für die steigende Nutzung gibt es viele Gründe: So werden beispielsweise vermehrt Paketmanager genutzt, welche automatisch weitere abhängige OSS nachziehen.

Gleichzeitig wurden die Prozesse zum Management von Open Source der Entwicklungsteams in den letzten 10 Jahren jedoch kaum verbessert.

Säulendiagramm in pink und grau

Anzahl bekannter vs. genutzter OSS-Komponenten

(Quelle: Revenera Professional Services Audit Data 2012 – 2020)

Fazit: Firmen, die auf Open Source-Komponenten setzen, sind wegen stets zunehmender Sicherheitslücken und der Gefahr von Compliance-Verletzung steigenden Risiken ausgesetzt, oftmals ohne dass sie sich dessen bewusst sind. Aus diesen Gründen ist die Einrichtung eigener Open-Source-Offices dringend anzuraten, oder zumindest die Ernennung eines Ansprechpartners „OSS“ für die Entwicklungsabteilungen, der mit den neuen Risiken umzugehen weiß.

Bitsea identifiziert versteckte Risiken in Softwaresystemen und unterstützt bei der technischen Due Diligence und der Wahrung von IT-Compliance. Wir beraten Kunden bezüglich der Nutzung und dem Management von Open Source Software. Zu unseren Kunden zählen namhafte Konzerne aus den Branchen Automobil, Telekommunikation, Logistik und der Luft- und Raumfahrt. Bitsea ist Partner des OpenChain Projektes.