"2018 State of the Software Supply Chain Report" von Sonatype: Der Einsatz gefährdeter Open-Source-Komponenten verzeichnet einen Anstieg von 120 %

Fulton, 25.09.2018 (PresseBox) - Sonatype veröffentlicht heute seinen vierten jährlichen "State of the Software Supply Chain Report", aus dem hervorgeht, dass Software-Entwickler in den letzten 12 Monaten mehr als 300 Milliarden Open Source-Komponenten heruntergeladen haben und dass 1 von 8 dieser Komponenten bekannte Sicherheitslücken enthielt.

Der umfassende Benchmark-Bericht enthält eine Kombination aus öffentlichen und proprietären Daten, mit denen Muster und Vorgehensweisen untersucht wurden, die modernen Software-Lieferketten und der Entwicklung von Open-Source-Software (OSS) zugrunde liegen. Die wichtigsten Ergebnisse des diesjährigen Berichts:

Verwaltete Software Supply Chains sind 2-mal effizienter und 2-mal sicherer

Automatisierte OSS-Sicherheitsverfahren reduzieren das Auftreten von Sicherheitslücken um 50 %

Die Wahrscheinlichkeit, dass DevOps-Teams Open-Source-Governance einhalten, ist bei der Automatisierung von Sicherheitsrichtlinien um 90 % höher

Das Zeitfenster, um auf Schwachstellen zu reagieren, schrumpft rapide

In den letzten zehn Jahren hat sich die Zeit vom Bekanntwerden bis zur Ausnutzung eines Open-Source-Sicherheitsproblems um 400 % von durchschnittlich 45 Tagen auf nur noch 3 Tage verringert

Hacker beginnen gezielt Software Supply Chains anzugreifen

Innerhalb der letzten 18 Monate hat eine Serie von 11 Ereignissen eine ernsthafte Eskalation der Angriffe auf Software-Lieferketten ausgelöst

Diese Angriffe, bei denen Hacker Sicherheitslücken direkt in Open-Source-Projekte injizieren, repräsentieren eine neue Dimension im Kampf um die Sicherheit von Software-Anwendungen

Der Industrie fehlen vernünftige Open-Source-Kontrollen

Für 1,3 Millionen Schwachstellen in OSS-Komponenten gibt es keine entsprechenden CVE-Sicherheitshinweise in der öffentlichen National Vulnerability Database (NVD)

62 % der Unternehmen geben an, keine wirksame Kontrolle darüber zu haben, welche OSS-Komponenten in ihren Anwendungen verwendet werden

Die Regierungsbehörden greifen ein, weil die Unternehmen Schwierigkeiten mit der Selbstkontrolle haben

19 verschiedene Regierungsorganisationen auf der ganzen Welt haben sich für eine verbesserte OSS-Sicherheit und -Governance ausgesprochen

Angebot und Nachfrage nach Open Source sind unverändert hoch

Mehr als 15.000 neue oder aktualisierte Open-Source-Releases werden den Entwicklern täglich zur Verfügung gestellt

Im Jahr 2017 hat ein durchschnittliches Unternehmen 170.000 Java-Komponenten heruntergeladen, das sind 36 % mehr als im Vorjahr

Unterstützende Zitate:

Wayne Jackson, CEO, Sonatype

"Während Open Source in zunehmender Geschwindigkeit auf den Höhepunkt seines Wertes zusteuert, sind die Grundlagen des Ökosystems und der unterstützenden Infrastruktur zunehmend gefährdet. Eine Reihe von prominenten und verheerenden Cyberangriffen im vergangenen Jahr haben die Intention und das Potenzial der Ausnutzung von Sicherheitsschwachstellen in Software-Lieferketten aufzeigt. Unser diesjähriger Bericht beweist jedoch, dass eine sichere Software-Entwicklung nicht unerreichbar ist. Die Applikations-Ökonomie kann in regulierten, sicheren Umgebungen wachsen und gedeihen, wenn sie richtig verwaltet wird."

Gene Kim, CTO, Forscher und Co-Autor von "The Phoenix Project" und "The DevOps Handbook", sowie Gründer von IT Revolution

"Wir leben in einer Zeit, in der ein Großteil der von uns gelieferten Software nicht von uns geschrieben wird, sondern auf eine riesige und weit verzweigte Software-Lieferkette von Open-Source-Komponenten angewiesen ist. So wertvoll Open-Source-Software auch geworden ist, es gibt erhebliche und versteckte wirtschaftliche Risiken bei der Nutzung dieser Software-Abhängigkeiten. Einer der aussagekräftigsten Indikatoren ist, dass einige der bekanntesten Sicherheitsverletzungen des letzten Jahres darauf zurückzuführen waren, dass nicht die aktuellsten Komponentenversionen verwendet wurden, wodurch Software-Schwachstellen mit verheerender Wirkung ausgenutzt werden konnten. Dieser Bericht verdeutlicht, wie wichtig das Ökosystem der Open-Source-Komponenten für uns alle ist und er zeigt die großen Unterschiede in der praktischen Anwendung sowohl bei den Herstellern als auch bei den Verbrauchern von Open-Source-Software".

Kevin E. Greene, Principal Software Assurance Engineer, The MITRE Corporation

"Wir beobachten immer mehr Sicherheitslücken in Open-Source-Software, die aufgrund einer Gravitationskraft, welche im Laufe der Zeit Funktionen, Komplexität und technische Verschuldung anzieht, nur schwer rechtzeitig zu patchen sind. Leider hat sich dadurch die Verbrauchsrate von Open-Source-Software durch die Entwickler nicht verändert. Dies entspricht meiner Meinung nach einem wachsenden Problem, nämlich dass Entwickler sich der Vorstellung hingegeben haben, dass alle Software anfällig ist und bekannte Schwachstellen aufweist. Wir müssen den Entwicklern bessere Lieferkettenoptionen bieten, bei denen Qualität und Sicherheit im Vordergrund stehen."

DJ Schleen, Sicherheitsarchitekt und DevSecOps Idealist, Fortune 50 Insurance Corporation

"Noch vor einem Jahrzehnt haben Sie unter die Motorhaube der Software geschaut, die Ihr Unternehmen gekauft hat, und eine Blackbox gesehen. Heute haben wir die Möglichkeit, die Motorhaube zu öffnen, um den Motor und alle seine Teile zu sehen. Verbraucher und leistungsstarke DevOps-Organisationen sollten nicht das Risiko eingehen, bekannte gefährdete Open-Source-Komponenten in ihren Produkten zu haben. Während neue gesetzliche Vorgaben das Problem angehen, hätten sich gute Unternehmen bereits selbst darum kümmern sollen."

Hasan Yasar, Technischer Leiter und Mitglied der außerordentlichen Fakultät, Carnegie Mellon University

"Im Jahre 476 v. Chr. sagte Meister Sun (The Art of War, Sunzi Sun Tzu): "Erkenne dich selbst, kenne deinen Feind und du wirst hundert Schlachten ohne Verlust gewinnen." Dasselbe gilt für die Software-Entwicklung im Jahr 2018. Wenn wir (selbst) wissen, was wir in unserem Code haben - einschließlich OSS - und wissen, wo Schwachstellen sind (unser Feind), dann können wir sichere Software erstellen. Der diesjährige "State of the Software Supply Chain Report" zeigt erneut, dass OSS-Schwachstellen exponentiell zunehmen. Wir können das Problem nicht mehr einfach ignorieren, wir müssen den Feind kennen, um es zu bezwingen."

Scott Crawford, Forschungsdirektor - Informationssicherheit, 451 Research

"Wie bei jeder Technologie bieten Open-Source-Software-Komponenten viele einzigartige Vorteile.  Sie bergen jedoch auch ihre eigenen Risiken: Lizenzprobleme und die Gefährdung durch erkannte Sicherheitslücken sind zwei der bekanntesten. Bevor ein Unternehmen diese Risiken beurteilen kann, ist eine genaue und aktuelle Bestandsaufnahme der OSS-Komponenten erforderlich. Der diesjährige Bericht "State of the Software Supply Chain" zeigt, dass zu viele Unternehmen immer noch an dieser elementarsten Form der Cyber-Hygiene scheitern. Tatsächlich gaben mehr als 62 % zu, keine wirksame Kontrolle darüber zu haben, welche OSS-Komponenten in ihren Anwendungen verwendet werden."

Über den State of the Software Supply Chain Report

Der "2018 State of the Software Supply Chain Report" verbindet eine breite Palette öffentlicher und proprietärer Daten mit kompetenter Forschung und Analysen. Der diesjährige Bericht hebt neue Methoden hervor, mit denen Cyberkriminelle Software-Lieferketten infiltrieren, bietet erweiterte Analysen über Sprachen und Ökosysteme hinweg und untersucht eingehender, wie sich gesetzliche Vorgaben auf die Zukunft der Software-Entwicklung auswirken können.

Zusätzliche Ressourcen

Lesen Sie den 2018 State of the Software Supply Chain Report

Lesen Sie unseren Blog

Erstellen Sie kostenlos eine Software Bill of Materials

Erfahren Sie mehr über die Sonatype Software-Supply-Chain-Automatisierungslösungen

• Über SONATYPE Inc.
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?