Der quelloffene Code ist schier überall – aber ...

Entwickler hantieren leichtfertig mit Open Source

| Autor / Redakteur: Ludger Schmitz / Ulrike Ostler

Fehlerhafter Code kann zu unerwünschten Nebenwirkungen führen; oftmals missachten Entwickler aber auch Lizenzrechte.
Fehlerhafter Code kann zu unerwünschten Nebenwirkungen führen; oftmals missachten Entwickler aber auch Lizenzrechte. (Bild: © iQoncept - stock.adobe.com)

Fast in jeder Anwendung sind Open-Source-Komponenten. Aber unbedachte Weiterverwendung von quelloffenen Komponenten führt zu Sicherheits- und Lizenzproblemen.

Eines der Argumente für Open Source ist bei Entwicklern offenbar angekommen. Quelloffenen Code wieder zu verwenden spart eine Menge Arbeit und Zeit. Bei der Analyse von mehr als 1.100 kommerziellen Anwendungen entdeckte Black Duck im Jahr 2017 in 96 Prozent der Fälle Open-Source-Komponenten. Und zwar nicht gerade wenig.

Open-Source-Verbreitung wächst rasant

Es geht nicht darum, dass hier und da mal ein Entwickler ein paar Codezeilen übernimmt. Im Durchschnitt entdeckte die Black-Duck-Analyse 257 Open-Source-Komponenten pro Anwendung. Diese Zahl erhöhte sich gegenüber dem Vorjahr um 75 Prozent. Gleichzeitig stieg der Anteil von Open Source am Gesamtcode von 36 auf 57 Prozent. Das heißt: Insgesamt steckt in neuen Anwendungen seit 2017 mehr Open-Source- als proprietärer Code.

Am häufigsten zu finden waren die Spuren von „Bootstrap“. Dieses Tool zur Entwicklung mit HTML, CSS und Javascript ließ sich in 44 Prozent aller Anwendungen nachweisen. An zweiter Stelle liegt mit 36 Prozent „jQuery“.

Entwickler sind allzu vertrauensselig

Im Prinzip macht die Möglichkeit, Sourcecode zu analysieren, Open Source durch das Viele-Augen-Prinzip sicherer. Das und die zunehmende Verbreitung von Open Source haben auch den Effekt gehabt, dass allein im Jahr 2017 mehr als 4800 Sicherheitsprobleme bei quelloffenem Code bekannt wurden. Jedoch scheinen viele Entwickler sich geradezu vertrauensselig an Open-Source Komponenten zu bedienen.

78 Prozent des von Black Duck analysierten Codes enthielt wenigstens eine Schwachstelle, im Durchschnitt waren es 64 bekannte Angriffspunkte pro Anwendung. Mehr als die Hälfte, 54 Prozent dieser Schwachstellen sind als hoch riskant klassifiziert. 17 Prozent des Gesamtcodes enthielt sogar Risiken, die in der Presse ein größeres Thema waren: Heartbleed, Logjam, Freak, Drown oder Poodle.

Am verbreitetsten war in 13 Prozent des Codes CVE-2016-9878, eine tückische Falle aus dem Pivotal Spring Framework. Logjam fand sich in elf Prozent des Codes. Apache Struts tauchte in acht Prozent auf. Sogar Heartbleed gibt es noch in vier Prozent des Codes – immerhin vier Jahre nach Entdeckung dieses sehr publizierten Falls.

Was kümmern mich Open-Source-Lizenzen?

Open-Source-Lizenzen sind ob ihrer Vielfalt ein leidiges Thema. Aber es sollte gerade bei Programmierung proprietärer Software ein bekanntes sein. Ist es aber nicht. Open Source scheinen viele Entwickler mit Freeware zu verwechseln.

Initiative für mehr Fairness und Transparenz bei Open-Source-Lizenzen

Optimierung der GNU- und GPL-Lizenzkonformität

Initiative für mehr Fairness und Transparenz bei Open-Source-Lizenzen

29.03.18 - Suse, CA Technologies, Cisco, Facebook, Google, HPE, IBM, Microsoft, Red Hat und SAP arbeiten daran, Open Source-Lizensierungen besser in den Griff zu bekommen. Dafür sollen zusätzliche Rechte zur Behebung von Open-Source-Compliance-Verletzungen eingeräumt werden. lesen

In 85 Prozent der gesamten Codebasis fand Black Duck Lizenzkonflikte oder unbekannte Lizenzen. Genau genommen enthielten 74 Prozent, als drei Viertel des Codes unmittelbare Lizenzkonflikte. Meistens, nämlich bei 44 Prozent waren es Verletzungen der GPL, der verbreitetsten Open-Source-Lizenz.

Die Verbreitung von Sicherheits- und Lizenzproblemen zieht sich durch alle Anwendungszwecke von Software. Spitzenreiter sind allerdings Internet- und mobile Applikationen, die zu 60 Prozent Konflikte in sich bergen. Die höchste Fehlerquote weisen entsprechend Anwendungen für Internet- und Software-Infrastruktur auf. Den Vogel schießen Telekommunikations- und Wireless-Anbieter ab: 100 Prozent des Codes aus dieser Branche enthält Lizenzprobleme.

Black Duck analysiert alljährlich den Code von Unternehmen. Dies ist meistens im Vorfeld von Firmenzusammenschlüssen oder -übernahmen nötig. Denn der Softwarebestand einer Firma ist ein nicht unerheblicher Teil ihres Werts. Die zusammengefassten Ergebnisse der Softwareanalysen veröffentlicht Black Duck alljährlich im Rahmen der OSSRA-Studien.

* Ludger Schmitz ist freiberuflicher Journalist in Kelheim.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45299457 / Anwendungen)