Software entwickeln ist ein bisschen wie LEGO spielen: Man fügt Tausende von Open-Source-Software(OSS)-Komponenten zu einem neuen Produkt zusammen. Einmal verbaut ist die Herkunft der einzelnen Bausteine nur schwer nachzuverfolgen – mit Folgen für Compliance und Sicherheit.
Die Softwareentwicklung startet selten bei Null. Entwickler-Teams greifen auf bestehenden “Legacy”-Code zurück, arbeiten mit Dritt-Zulieferern zusammen und verlassen sich auf Open-Source-Software (OSS)-Komponenten, die auf GitHub & Co. zur freien Verfügung stehen. In heutigen kommerziellen Anwendungen macht OSS bis zu 80-90% des Codes aus.
Umso erstaunlicher ist daher die Betriebsblindheit von Unternehmen, wenn es um die Dokumentation der OSS-Codebausteine geht. Im Rahmen von Software-Audits werteten die Analysten von Revenera mehr als 2,6 Milliarden Codezeilen aus und entdeckten dabei 230.000 kritische Fälle. Damit findet sich alle 11.500 Codezeilen ein Compliance-Verstoß oder eine Software Vulnerability. 83% der in den Audits aufgedeckten Risiken war den Entwickler-, Sicherheits- und Compliance-Teams der Unternehmen im Vorfeld der Untersuchung unbekannt.
Den ganzen Artikel können Sie hier lesen.