Revenera Statusreport 2022: Software Supply Chain & Open Source Software (OSS)
Zahl der Compliance-Verstöße und Sicherheitsschwachstellen in Open Source Software steigt / 230.000 kritische Fälle

(firmenpresse) - Hamburg, 15. Februar 2022 - Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, hat den neuen "State of the Software Supply Chain Report" veröffentlicht. Analysiert wurden Daten aus über 100 Audits, um den Umfang an undokumentierter Open Source Software (OSS) in Unternehmen zu erfassen und potenzielle Compliance- und Sicherheits-Risiken zu identifizieren.
Für die branchenübergreifende Studie wertete Revenera mehr als 2,6 Milliarden Codezeilen aus. Dabei entdeckten die Audit-Teams insgesamt 230.000 kritische Fälle. Durchschnittlich stießen die Analysten alle 11.500 Codezeilen auf einen Compliance-Verstoß, eine Sicherheitsschwachstelle oder Ähnliches. Pro Audit kommen so im Schnitt 2.200 kritische Fälle ans Licht. Im Vergleich zum Vorjahr (2021: 1.959) stieg die Zahl potentieller Risiken um 12%.
83% der in den Audits aufgedeckten Risiken war den Unternehmen im Vorfeld der Untersuchung nicht bekannt. Ein häufiger Grund für die Betriebsblindheit in Sachen OSS ist das Fehlen von Software Composition Analyse (SCA)-Tools, die Anwendungen auf Codeebene scannen und Compliance-Verstöße sowie Sicherheitslücken automatisch melden.
Die wichtigsten Ergebnisse im Überblick:
- Die Zahl der als kritischer Compliance-Risiken (Prioritätsstufe 1) eingestufter Vorfälle wuchs mit 9.500 um 6% (2021: 9.000). Einen deutlichen Sprung verzeichnete das Audit-Team von Revenera bei Vorfällen der Prioritätsstufe 2 (z. B. sekundäre Probleme mit kommerziellen Lizenzen) und Prioritätsstufe 3 (z. B. Probleme im Zusammenhang mit permissiven Lizenzen von BSD, Apache oder MIT.) Hier nahm die Zahl jeweils um 50% bzw. 34% zu. Der Anstieg deutet auf eine zunehmende Verbreitung von OSS in Anwendungen und damit auf ein wachsendes Risiko für unterschiedlichste Branchen hin.
- Die Zahl der Sicherheitslücken auf Codeebene hat sich im Vergleich zum Vorjahr mehr als verdreifacht. Die Revenera-Analysten identifizierten pro Audit durchschnittlich 282 Schwachstellen, ein Anstieg von 217% (2021: 89). Von den aufgedeckten Schwachstellen stellten 27% ein "hohes" CVSS-Risiko dar (Common Vulnerability Scoring System) und damit eine unmittelbare Bedrohung für IT-Sicherheit und Cyberschutz.
- Der Anteil von Binärdateien in einer typischen Anwendungscodebasis nahm um 7% weiter zu. Insgesamt stießen die Analysten auf insgesamt 343.000 Binaries, die aus unterschiedlichen Sammlungen von kompiliertem Quellcode stammen. Damit steigt auch die Komplexität des Software-Codes, da automatisch mehr Abhängigkeiten in die Codebasis gelangen.
Angesichts der wachsende Komplexität von Software-Code rechnet Revenera in den nächsten Jahren mit einer wachsenden Verbreitung von SCA-Lösungen und Prozessen in Unternehmen - zumal sich auch die regulatorischen Rahmenbedingungen entlang der Software Supply Chain zunehmend verschärfen.
Erst 2021 legte die USA mit einer Executive Order (EO) neue Cybersecurity-Anforderungen fest. Demnach müssen Software-Anbieter eine Software Bill of Materials (SBOM) bereitstellen und automatisierte Tools und Prozesse zur Überprüfung der Code-Integrität implementieren. Die EU-Kommission geht mit ihrer Open-Source-Software-Strategie 2020-2023 in eine ähnliche Richtung. Standardformate wie SPDX (Software Package Data Exchange), CycloneDX und SWID (SoftWare IDentification) sollen helfen, Informationen entlang der Lieferketten weiterzugeben und die Erstellung der SBOM zu vereinheitlichen.
"Schwachstellen wie Log4Shell haben klar gezeigt, dass die Software Supply Chain besser geschützt werden muss. Nur so sind wir für die Welle an Cyberangriffen in den nächsten Jahren gewappnet", erklärt Alex Rybak, Director Product Management bei Revenera. "Der Umfang von Open-Source- und Drittanbieter-Komponenten wächst und wächst. Unternehmen brauchen hier branchenweite Standards und sollten sowohl in interne Compliance-Programme als auch in entsprechende SCA-Lösungen investieren, um auf Anfragen ihrer Kunden schnell zu reagieren und Risiken zuverlässig zu entschärfen."
Der vollständige Report "Revenera 2022 State of the Software Supply Chain Report" steht zum Download bereit.Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Revenera unterstützt Produktverantwortliche, bessere Anwendungen zu entwickeln, die Markteinführungszeit zu verkürzen und Produkte effektiv zu monetarisieren - egal ob On-Premise, Embedded Software, SaaS oder Cloud. Die führenden Lösungen von Revenera ermöglichen es Software- und Technologieunternehmen, ihren Umsatz mit Hilfe moderner Software-Monetarisierung zu steigern. Softwarenutzungsanalysen erlauben tiefe Einblick in die Nutzung von Software und die Einhaltung von Lizenzierungen. Lösungen für Software Composition Analysis garantieren ein hohes Maß an Open-Source-Sicherheit und Lizenzcompliance. Mehr Informationen unter www.revenera.de
Lucy Turpin Communications GmbH
Sabine Listl
Prinzregentenstrasse 89
81675 München
revenera(at)lucyturpin.com
+49 89 417761 - 0
http://www.lucyturpin.com
Datum: 15.02.2022 - 09:00 Uhr
Sprache: Deutsch
News-ID 1958915
Anzahl Zeichen: 4908
Kontakt-Informationen:
Ansprechpartner: Nicole Segerer
Stadt:
Hamburg
Telefon: +49 89 417761 -0
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 418 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Revenera Statusreport 2022: Software Supply Chain & Open Source Software (OSS)"
steht unter der journalistisch-redaktionellen Verantwortung von
Revenera / Flexera (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Hamburg, 3. Mai 2023 - Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, gibt die Verfügbarkeit von VDR (Vulnerability Disclosure Reports) und VEX (Vulnerability Exploitability eXchange) in der aktuellen Version von SBOM Insights bekannt. D
Neue US-Cybersicherheit-Strategie: Auswirkungen auf die Softwareentwicklung ...
Hamburg, 15. März 2023 - Die US-Regierung hat am 2. März neue Richtlinien zur Stärkung der Cybersecurity vorgestellt. Ziel der National Cybersecurity Strategy ist es, die Software Supply Chain sicherer zu machen und Anwendungen und Systeme vor Angriffen und Ransomware-Attacken zu schützen. Das h
IoT Breakthrough Award 2023 geht an Revenera ...
Hamburg, 30. Januar 2023 - Revenera, Anbieter von Lösungen für Software-Monetarisierung, Open-Source-Compliance und Installation, erhält im Rahmen der 7. IoT Breakthrough Awards die Auszeichnung als "Enterprise IoT Platform Innovation". Die Awards werden jährlich vom einem unabhängige
Weitere Mitteilungen von Revenera / Flexera
Turingpoint: IT-Sicherheitsdienstleister erhält ISO-Zertifizierung ...
Stabile Informationssicherheits-Managementsysteme (ISMS) sind heutzutage wichtiger denn je. Nicht nur schützen sie Unternehmen vor der steigenden Anzahl an Cyberattacken, sondern auch vor kostspieligen Unterbrechungen des Geschäftsbetriebs. Dank Sicherheitsfirmen wie der turingpoint GmbH können s
Prozessautomatisierung: Atruvia entscheidet sich für die Low-Code-Plattform X4 BPMS von SoftProject ...
Ab sofort unterstützt die SoftProject GmbH aus Ettlingen die Atruvia AG, einen der größten IT-Dienstleister Deutschlands und Digitalisierungspartner der genossenschaftlichen FinanzGruppe, bei der Digitalisierung ihrer internen Geschäftsprozesse. Dabei soll die Low-Code-Plattform X4 BPMS (Busines
Hybrid Heroes Incentive: Jetzt Umsatz mit Poly machen und exklusives Wochenende in London gewinnen ...
Mönchengladbach, 09. Februar 2022 - Westcon-Comstor, Value-Added Distributor (VAD) führender Security-, Collaboration-, Netzwerk- und Datacenter-Technologien, verlost unter allen Poly-Resellern, die bis 28. Februar 2022 einen Mindestumsatz von 50.000EUR mit Poly-Produkten generieren, ein exklusive
Artec 3D präsentiert neuen 3D-Scanner 2022 Artec Leo mit doppelter Leistung und noch höherer Präzision ...
Santa Clara, Kalifornien/USA, 14. Februar 2022 - Artec 3D, ein weltweit führender Entwickler und Hersteller von professionellen 3D-Scannern und korrespondierender Software, hat den neuen 3D-Scanner 2022 Artec Leo, einen komplett kabellosen 3D-Handscanner mit integriertem Touchscreen, vorgestellt. D




