Vor Unternehmensfusionen und -übernahmen werden die Werte der betreffenden Firmen analysiert. Zu den dabei wichtigen Größen gehört auch deren IT und insbesondere ihre Software, denn sie stellt einerseits einen Wert dar, kann andererseits aber Risiken bergen. Untersuchungen in diesem Teilbereich sind das Geschäft des Black Duck Auditing Services von Synopsys und ihrem Cybersecurity Research Center (CyRC). Das Unternehmen hat jetzt die Ergebnisse der Untersuchung von 1200 kommerziellen Codebasen im Jahr 2018 veröffentlicht – und kommt zu ziemlich beeindruckenden Befunden.

Mehr als die Hälfte der Software ist Open Source

Dass Open Source überall ist, darf schon als Allgemeinplatz gelten. Synopsys hat wie in den beiden Vorjahren solche Software in 96 Prozent der gescannten Codebasen gefunden. Und quelloffener Code macht sich breit. Open Source machte 2018 60 Prozent des Gesamtcodes aus, noch einmal drei Prozent mehr als 2017. Das hat allerdings auch damit zu tun, so schränkt Synopsys ein, dass die untersuchten Unternehmen mehrheitlich Software auch selbst entwickeln.

In IT-nahen Branchen sind bis zu drei Viertel der gesamten Software Open Source. In Fertigung und Industrie sind es 43 Prozent, in Luft- und Raumfahrt, Automobilindustrie, Transportwesen und Logistik beträgt der Open Source-Anteil 37 Prozent. Je mehr Eigenentwicklung, desto mehr Open Source. Die Entwickler setzen massiv auf quelloffenen Code.

Doch damit entsteht für die Unternehmen ein Problem, warnt Synopsys: „Den meisten fehlen Richtlinien, Prozesse und Tools, um mit den Entscheidungen der Entwickler Schritt zu halten. Infolgedessen sind die Vorteile von Open Source auch mit einer Reihe von Risiken verbunden.“

Open Source-Community patcht vorbildlich

Diese Aussage schmeckt schon nach Marketing, denn Synopsys und Black Duck machen eben ihr Geschäft mit Analysen und Analyse-Tools. Es ist nicht überraschend, dass die Autoren fortfahren: „Jede Software, ob proprietär oder Open Source, weist Schwachstellen auf, die zu Sicherheitslücken werden können und daher von Unternehmen identifiziert und gepatcht werden müssen.“

Doch dann kommt ein bemerkenswerter Satz: Die Open Source-Community stellt auf vorbildliche Weise Patches bereit, die oft viel schneller verfügbar sind, als das bei ihren proprietären Gegenstücken der Fall ist.“ Nur sei es so, dass „eine alarmierende Anzahl“ von Unternehmen die Patches ignorierten. Das könnte mit Gewohnheiten und Bequemlichkeit zu tun haben. Denn bei proprietärer Software gibt es sehr oft die Option, Patches automatisch zu bekommen, während bei Open Source das Pull-Support-Modell die Regel ist. Synopsis: „Mit anderen Worten, man ist selbst verantwortlich.“

Sicherheitslücken älter als so mancher Programmierer

Das Ergebnis fehlenden Software-Asset-Managements ist überalterte Open Source-Software mit Sicherheitslücken, die längst behoben sind. Einerseits hat sich die Lage merklich gebessert. 2017 wies Synopsys in 78 Prozent der geprüften Codebasen mindestens eine Sicherheitslücke nach, im vergangenen Jahr waren es 60 Prozent. Mehr als 40 Prozent der überprüften Codebasen enthielten Sicherheitslücken mit hohem Risiko.

Andererseits haben jene Unternehmen, deren Softwaremanagement mangelhaft ist, ein noch größeres Problem, so Synopsys: „Das Durchschnittsalter der im Jahr 2018 festgestellten Sicherheitslücken betrug 6,6 Jahre und lag damit etwas höher als 2017.“ Die älteste gefundene Sicherheitslücke, CVE-2000-0388 aus FreeBSD, wurde erstmals 1990 gemeldet, ist also „älter als so mancher Programmierer“.

Hinzu kommen Lizenzrisiken

Es gibt noch ein Problem, das bei Fusionen und Übernahmen Nacharbeiten erfordert: die Lizenzen. 68 Prozent der 2018 analysierten Codebasen enthielten Lizenzkonflikte, ein leichter Rückgang gegenüber 2017, aber unverändert viel zu viel. Bei 61 Prozent waren es Verstöße gegen die GNU General Public License (GPL). Die meisten Unternehmen habe also ein Compliance-Problem.

Synopsys empfiehlt Unternehmen daher dringend, ein vernünftiges Software-Asset-Management zu nutzen, eine Bestandsaufnahme der Open Source-Software zu machen, Sicherheitslücken zu klassifizieren, zu beheben und kontinuierlich zu verfolgen sowie Lizenzrisiken zu identifizieren. „Open Source bietet Unternehmen, die es verwenden, eine Fülle von Vorteilen – aber nur, wenn sie nachverfolgen, welche Open Source-Komponenten verwendet werden, und alle damit verbundenen Sicherheits- und Compliance-Probleme identifizieren.“

*Ludger Schmitz ist freiberuflicher Journalist i.R. in Kelheim.