Wiederverwenden gerne, aber…

Open-Source-Code steckt inzwischen in fast aller Software, hat eine Studie von Black Duck ergeben. Aber viele Programmierer sind dabei unvorsichtig und rücksichtslos. Von Ludger Schmitz*

55
Foto: geralt, Pixabay

Das Unternehmen Black Duck analysiert Programme auf Sicherheits- und Lizenzprobleme, meist im Vorfeld Firmenübernahmen oder -zusammenschlüssen, denn hier wird unter anderem auch der Wert der Softwarebestände ermittelt. Daraus entsteht ein  Bericht, der seit Jahren ein besonderes Augenmerk auf Open Source wirft: OSSRA. Die Analyse für 2017 liegt jetzt vor und beschreibt mehr als 1100 kommerzielle Applikationen aus der ganzen Breite von Wirtschaftsbranchen.

Der erste erstaunliche Befund: Ohne Open Source gäbe es viel weniger proprietäre Software. Black Duck entdeckte in 96 Prozent der gescannten Programme Open-Sorce-Komponenten. Im Durchschnitt waren es sogar 257 pro Anwendung, ein Plus von 75 Prozent gegenüber 2016. Damit wuchs der Open-Source-Anteil am Code von 36 auf 57 Prozent. Am häufigsten handelte es sich um „Bootstrap“. Das Toolkit zur Entwicklung mit HTML, CSS und Javascript ließ sich in 44 Prozent der Anwendungen nachweisen. In 36 Prozent fand sich „jQuery“.

Offenbar gehen Entwickler vertrauensselig mit Open-Source-Code um. Allein in der 2017 analysierten Software entdeckte Black Duck 4800 bekannte Schwachstellen. 78 Prozent des untersuchten Code barg solche Probleme, genauer: 64 Sicherheitslücken pro Anwendung. Mehr als die Hälfte der Probleme gelten als hochriskant, 17 Prozent hatten sogar Code, dessen Schwächen Schlagzeilen gemacht hat. Längst bekannter und riskanter Code wie CVE-2016-9878 fand sich in 13 Prozent der Programme. Logjam kam in 11 Prozent des Codes vor, vier Prozent enthileten – vier Jahre nach der Entdeckung – den Heartbleed-Fehler, drei Prozent jene Apache-Struts-Variante, welche die Equifax-Angriffe ermöglichen.

Interessant ist auch, wo welche Probleme mit gefährlichem Open-Source-Code auftreten. Anwendungen von zwei Dritteln der Hersteller von Internet- und Infrastruktur-Software verwendeten Code mit bekannten Schwachstellen. Bei den Herstellern von mobilen Anwendungen waren es kaum weniger, nämlich 60 Prozent. Unfassbar ist, dass 41 Prozent des Codes ausgerechnet von IT-Sicherheitsunternehmen Problemcode barg.

Ähnlich leichtfertig ignorieren Entwickler Lizenzen. Dabei sollte nun wirklich jeder inzwischen wissen, dass Open Source keine Analogie zu Freibier ist. Drei Viertel der untersuchten Programme (74 %) enthielten Lizenzkonflikte. In 44 Prozent der Software fanden sich Verletzungen der GPL, nicht überraschend angesichts der Verbreitung dieser beliebtesten Open-Source-Lizenz. Den Vogel schossen hier die Telekommunikations-Industrie ab. 100 Prozent des Codes von solchen Herstellern wies Lizenzprobleme auf.

Das Resümee von Black Duck ist nicht eben optimistisch: „Mit dem Wachstum der Open-Source-Nutzung geht ein Risiko einher.“ Der Grund: Den Organisationen fehlen Tools zur Analyse, wie viel und welcher Open-Source-Code in ihren Anwendungen steckt. Mit der Änderung in der Softwareentwicklung sollten sie Sicherheitsverfahren entwickeln, um gefährlichem Code und Lizenzverletzungen vorzubeugen. Das Problem ist, dass es keine Technik gibt, allen Schwachstellen vorzubeugen.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.