Studie: Hälfte der Fortune-500-Unternehmen nutzt anfällige Open-Source-Software

Über 50 Prozent der weltweit umsatzstärksten Unternehmen sollen zahlreiche Open-Source-Komponenten, Sicherheitsbibliotheken und Web-Frameworks einsetzen, die sicherheitsrelevante Schwachstellen enthalten. Laut einer gemeinsamen Studie von Sonatype und Aspect Security kommen diese Komponenten bei Fortune-500-Unternehmen zum Einsatz, die deraus eigene Softwareanwendungen entwickelt haben. Insgesamt enthalten angeblich sogar über 80 Prozent aller firmenintern entwickelten Anwendungen anfällige Komponenten und Frameworks.

Die Studie basiert auf einer Umfrage unter 2550 Entwicklern, Softwarearchitekten und Analysten. Sie kommt zu dem Schluss, dass der gute Ruf von Open-Source-Software zu der Annahme verleite, sie sei durchweg von hoher und gleichbleibender Qualität. Das führe dazu, „Mängel im Ökosystem zu übersehen“. Insbesondere erreichten die Entwickler keine regelmäßigen Mitteilungen über Schwachstellen und neue Versionen, mit denen Fehler behoben wurden.

„80 Prozent des Codes in heutigen Anwendungen stammt aus Bibliotheken und Frameworks“, schreibt Aspect-CEO Jeff Williams. „Das Risiko von Schwachstellen in diesen Komponenten wird weitgehend ignoriert und unterschätzt.“ Der Bericht geht von 46 Millionen Downloads unsicherer Versionen der beliebtesten Open-Source-Bibliotheken und -Frameworks aus, zu denen Google Web Toolkit, Spring MVC, Strutz 1.x und Hibernate gehören. Bei den populären Komponenten sei die Wahrscheinlichkeit nur zehn Prozent geringer als bei weniger beliebten, dass sie Schwachstellen enthalten.

„Da mehr als 80 Prozent typischer Softwareanwendungen Open-Source-Komponenten und -Frameworks in binärer Form einsetzen, sind die Ergebnisse dieser Untersuchung ein Weckruf für fast jede Organisation, die Software für geschäftskritische Abläufe entwickelt“, argumentiert Aspect Security, das ein Gründungsmitglied des Open Web Application Security Project ist. Das an der Studie beteiligte Sonatype bietet den Nexus Intelligent Repository Manager für die Verwaltung von Softwarekomponenten an und wollte mit der Studie offensichtlich dessen Vorteile herausstellen.

Einige führende Open-Source-Entwickler haben andere Einschätzungen, was die Ergebnisse der Studie angeht. „Die Zahlen überraschen mich nicht“, sagt Mark Thomas vom Apache Tomcat Project Management Committee. „Zweifellos gibt es Organisationen, die weiterhin mit angreifbarer Software (Open wie Closed Source) arbeiten, ohne das zu erkennen. Ich glaube nicht, dass es sich dabei um ein spezifisches Problem von Open Source handelt ‒ noch dass Open Source hier besser oder schlechter ist im Vergleich zu Closed Source.“

Andrew Aitken, Gründer der Olliance Group, bemängelt „den Ton der Studie“. Sie lege nahe, Open Source sei von geringerer Qualität und riskanter. Viele Untersuchungen hätten aber die meist höhere Qualität von quelloffener Software bewiesen. Er wies auf die Ergebnisse des „Coverity Scan Open Source Integrity Report 2010“ hin, der auf einer Analyse von 280 Open-Source-Projekten einschließlich Linux, Apache, Firefox, Samba, PostgreSQL, OpenVPN und mehr basierte. Demnach konnte Open-Source-Software mit einer weit geringeren Mängelrate im Vergleich zum Branchendurchschnitt überzeugen.

[mit Material von Paula Rooney, ZDNet.com]