Ein aktueller Bericht des Unternehmens Lineaje, das sich mit der Sicherheit der Software-Lieferkette beschäftigt, hat die Zusammensetzung von Open-Source-Software untersucht und die mit ihrer Verwendung verbundenen Risiken bewertet.
Der Bericht kommt zu dem Ergebnis, dass 82 Prozent aller Open-Source-Softwarekomponenten von Natur aus risikobehaftet sind und erhebliche Risiken aufgrund von Schwachstellen, Sicherheitsproblemen, Codequalität oder Wartungsproblemen aufweisen. Diese Risiken sind jedoch nicht gleichmäßig verteilt, was unterstreicht, wie wichtig es ist, Open-Source-Abhängigkeiten kontinuierlich zu bewerten, da sich die Risiken über die verschiedenen Versionen hinweg entwickeln. Auch die Popularität einer Software hat nichts mit ihrem Risiko zu tun - die Auswahl von Abhängigkeiten auf der Grundlage ihrer Popularität ist also kein Ansatz zur Risikominderung.
Sichtbare, direkte Abhängigkeiten machen nur 10 Prozent aller Abhängigkeiten aus, die eine Open-Source-Komponente mit sich bringt, während 90 Prozent transitiv sind. Darüber hinaus stammen 68 Prozent der Abhängigkeiten in Open-Source-Software von anderen Open-Source-Projekten, die wiederum weitere Open-Source-Projekte mit einbeziehen.
Der Report kann auf dieser Seite heruntergeladen werden (Registrierung erforderlich).