Die aktuelle Studie „The State of the Software Supply Chain: Open Source Edition 2022” von VMware enthüllt, dass Open Source Software (OSS) eine immer größere Rolle in Unternehmen jeglicher Größe spielt. Mit der zunehmenden Bedeutung von Open Source Software wachsen jedoch auch die Sicherheitsbedenken der Nutzer. Besonders die Paketierung der Software rückt dabei in den Fokus.
Für die Studie „The State of the Software Supply Chain: Open Source Edition 2022”wurden knapp 1200 „Stakeholder“ im Bereich der Open Source Software aus Unternehmen verschiedenster Größen und Branchen befragt. Die wichtigsten Zahlen im Überblick:
- 99,8 Prozent der Befragten geben an, dass sie von Open Source Software profitieren. Dabei erfüllen besonders die Vorteile in den Bereichen Kosteneffizienz (76 Prozent), Flexibilität (60 Prozent) und Produktivität der Entwickler (52 Prozent) die Erwartungen.
- 94 Prozent der Befragten äußern Bedenken beim Einsatz von Open Source Software in der Produktion. Die größten Fragezeichen sehen die Teilnehmer in der Abhängigkeit von der Community, um Sicherheitslücken zu schließen (61 Prozent), den höheren Sicherheitsrisiken im Allgemeinen (53 Prozent) und fehlenden SLAs für Patches aus der Community (50 Prozent).
- Die Zahl der Unternehmen, die Open Source Komponenten in Produktion einsetzen, sank leicht von im letzten Jahr noch 95 Prozent, die OSS für die Produktion nutzten, sank dieser Wert in der diesjährigen Umfrage auf 90 Prozent. Nur 84 Prozent der kleinen Unternehmen (<100 Mitarbeiter) nutzen OSS in zu diesem Zweck.
Um die Sicherheit der Software-Lieferkette sicherzustellen, ist die Paketierung dieser ein wichtiger Hebel. Hier legen viele Unternehmen selbst Hand an oder vertrauen auf die Community. Laut Umfrage schnüren 55 Prozent der Befragten ihre Software-Pakete selbst und 56 Prozent setzen auf Software-Pakete, die von der Community zusammengestellt wurden.
Weniger beliebt ist die Paketierung durch einen externen Dienstleister (28 Prozent) oder der Kauf von vorpaketierter Software (ebenfalls 28 Prozent). Insgesamt sind 95 Prozent der Befragten in die Zusammenstellung ihrer Open Source Software-Pakete involviert.
Um die Herausforderungen, die mit der Software-Paketierung einhergehen, besser bewältigen zu können, wünschen sich die Unternehmen folgende Maßnahmen:
- Sofortiger Zugang zu vertrauenswürdigen Sicherheits-Patches für Anwendungen oder Laufzeiten, Abhängigkeiten und Betriebssystemkomponenten (60 Prozent)
- Zentraler Überblick über alle Scans, um Sicherheitsaudits zu vereinfachen (55 Prozent)
- Automatisierung von CVE- und Viren-Scans für jeden Container (51 Prozent). (rhh)