VMware-Studie zu Open Source Software Sicherheit der Softwarelieferketten rückt in den Fokus

Von Ulrike Ostler

Anbieter zum Thema

Open Source Software, kurz OSS, spielt laut der VMware-Studie „The State of the Software Supply Chain: Open Source Edition 2022” eine immer größere Rolle in Unternehmen. Doch es gibt Sicherheitsbedenken, insbesondere bei der Software-Paketierung.

Open Source Software (OSS) ist in, kaum ein Unternehmen kommt mehr ohne aus - und damit ist nicht ein Betriebssystem gemeint. Doch auch das gilt: Alte Sicherheitsbedenken halten sich und neue kommen hinzu.
Open Source Software (OSS) ist in, kaum ein Unternehmen kommt mehr ohne aus - und damit ist nicht ein Betriebssystem gemeint. Doch auch das gilt: Alte Sicherheitsbedenken halten sich und neue kommen hinzu.
(Bild: KanawatTH - stock.adobe.com)

Der OSS-Report von VMmare wird jährlich publiziert. Allerdings ändern sich jedes mal ein wenig die Ausrichtung beziehungsweise die Ausgangslage und damit die Fragestellung. Heuer nimmt er angesichts der erheblichen Schwachstellen, die im vergangenen Jahr sowohl in kommerzieller als auch in Open-Source-Software aufgetaucht sind, und der anhaltenden Zunahme von Cyber-Angriffen, die Software-Lieferkette verstärkt unter die Lupe.

Zugleich nimmt die Untersuchung auch Unternehmen auf, die weniger als 100 Mitarbeiter beschäftigen. Er beleuchtet einige der Bedenken und Herausforderungen, denen sich insbesondere diese kleineren Unternehmen zusätzlich zu denen größerer Betriebe gegenübersehen.

Bildergalerie
Bildergalerie mit 8 Bildern

Generell lässt sich feststellen, dass die Unternehmen sich nach wie vor für Open-Source-Software aus Gründen wie Kosteneffizienz, Flexibilität und Unterstützung durch die Gemeinschaft entscheiden. Zudem zeigt die diesjährige Umfrage, dass OSS diese Erwartungen auch erfüllt (siehe. Abbildung 1). Denn in diesem Jahr haben die Analysten zusätzlich zu der Frage welche Vorteile sichfür das jeweilige Unternehmen in der Produktion ergeben, gefragt: „Warum setzt Ihr Unternehmen Open-Source-Software ein?“. Auf diese Weise lässt sich feststellen, wie eng die Gründe für den Einsatz von OSS mit den angegebenen Vorteilen zusammenhängen , nämlich: „sehr gemeinsam“.

Über die Studie

VMware beauftragte Dimensional Research mit dieser Studie, um die Erfahrungen und Einstellungen von Technologieexperten, die für Open Source Software (OSS) verantwortlich sind, zu verstehen. Dafür befragten die Analysten eine Mischung aus Fachleuten in den Bereichen IT-Entwicklung und Betrieb, einschließlich Technologie-Führungskräfte, Teamleiter und einzelne Mitarbeiter.

Während sich die letztjährige Umfrage auf Unternehmen mit 500 oder mehr Mitarbeitern konzentrierte, sind in diesem Jahr Unternehmen jeder Größe aufgenommen worden. Außerdem hat sich die Zahl der Befragten mehr als verdoppelt und 1.198 OSS-Stakeholder aus einem breiten Spektrum von Branchen und Beschäftigungsebenen erreicht.

Der Schwerpunkt der befragten Unternehmen liegt in der Softwaretechnologiebranche (18 Prozent). Andere wichtige Sektoren, die in diesem Jahr vertreten sind, sind Finanzdienstleistungen, Gesundheitswesen, Telekommunikation, Fertigung und Bildung, die jeweils 9 Prozent der Gesamtzahl ausmachen.

Bei der Frage nach der Infrastruktur gaben 32 Prozent an, dass sie hauptsächlich vor Ort arbeiten, 38 Prozent waren gleichmäßig zwischen vor Ort und in der Cloud verteilt, während 30 Prozent hauptsächlich oder vollständig in der Cloud arbeiten. DevOps wurde von 80 Prozent der befragten Unternehmen eingeführt, wobei 38 Prozent über eine eine 'reife' DevOps-Organisation verfügen.

DevSecOps wurde von 62 Prozent der Unternehmen eingeführt. 26 Prozent haben angegeben, dass sie über ein 'ausgereiftes' DevSecOps-Programm verfügen.

Die wichtigsten Zahlen im Überblick

  • 99,8 Prozent der Befragten geben an, dass sie von Open Source Software profitieren. Dabei erfüllen insbesondere die Vorteile in den Bereichen Kosteneffizienz (76 Prozent), Flexibilität (60 Prozent) und Produktivität der Entwickler (52 Prozent) die Erwartungen.
  • Kleinere Unternehmen (knapp ein Fünftel aller untersuchten Unternehmen) erfahren die gleichen Vorteile: Kosteneffizienz (75 Prozent), erhöhte Flexibilität (59 Prozent), Unterstützung einer großen Nutzergemeinschaft (55 Prozent), Entwicklerproduktivität (55 Prozent) und die Möglichkeit für das technische Team kann mit der bevorzugten Technologie arbeiten (49 Prozent).
    Insgesamt liegen diese Ergebnisse erstaunlich nahe an denen der Gesamtstichprobe. Kleine Unternehmen erkannten die Produktivität der Entwickler 3 Prozent häufiger als Vorteil an (55 Prozent gegenüber 52 Prozent), was die größte Abweichung darstellt.

Allerdings verlief das vergangene Jahr nicht ganz reibungslos für die Einführung von OSS. So geben weniger Befragte an, dass sie OSS in diesem Jahr in der Produktion einsetzen, als im vergangenen Jahr, und zwar aufgrund von Management-Problemen, Support-Bedenken und mangelndem Vertrauen in die OSS-Technologie:

  • 94 Prozent der Befragten äußern Bedenken beim Einsatz von Open Source Software in der Produktion. Die größten Fragezeichen sehen die Teilnehmer in der Abhängigkeit von der Community, um Sicherheitslücken zu schließen (61 Prozent), den höheren Sicherheitsrisiken im Allgemeinen (53 Prozent) und fehlenden SLAs für Patches aus der Community (50 Prozent).
  • Die Zahl der Unternehmen, die Open Source Komponenten in Produktion einsetzen, ist leicht von 95 Prozent, die OSS für die Produktion nutzten, im vergangenen Jahr, auf 90 Prozent in der diesjährigen Umfrage gesunken. Nur 84 Prozent der kleinen Unternehmen (<100 Mitarbeiter) nutzen OSS in zu diesem Zweck.

Welche Art von OSS?

Bezüglich des Verwendungszwecks ergibt sich in diesem Jahr folgendes Bild (siehe: Abbildung 3) Datenbank oder Cache (75 Prozent), Laufzeiten (71 Prozent), Betriebssysteme (70 Prozent) und Container-Orchestrierung (59 Prozent). Es gibt auch eine erhebliche Menge an OSS-Unternehmenssoftware im Einsatz (45 Prozent der Befragten).

Kleinere Unternehmen verwenden eine andere Mischung von OSS. Insbesondere setzen sie weitaus seltener OSS für die Container-Orchestrierung (35 Prozent gegenüber 59 Prozent), die Softwarebereitstellung (31 Prozent gegenüber 48 Prozent) sowie die Protokollierung und Überwachung (33 Prozent gegenüber 44 Prozent) ein. Kleine Unternehmen nutzen weitaus häufiger quelloffene Geschäftssoftware (57 Prozent gegenüber 45 Prozent), einschließlich Lösungen für ERP, CMS, E-Commerce und „Wordpress“.

Bildergalerie
Bildergalerie mit 8 Bildern

Auf die Frage, was eine wachsende Zahl von Interessenvertretern vom Einsatz in der Produktion abhält, antworten viele (44 Prozent), dass sie noch herausfinden müssten, wie OSS in der Produktion zu verwalten sei. Allerdings geben 38 Prozent an, dass sie keine ausreichende Unterstützung für Open-Source-Software in Produktionsumgebungen sehen, und 34 Prozent trauen offenbar Open-Source-Software in Produktionsumgebungen nicht (siehe: Abbildung 5).

Im vergangenen Jahr gaben 46 Prozent der Befragten an, dass sie eine Richtlinie gegen Open-Source-Software in der Produktion haben. In diesem Jahr ist diese Zahl auf nur noch 25 Prozent gesunken. Diese dramatische Veränderung ist nicht nur ein Artefakt der Einbeziehung kleinerer Unternehmen. Nur noch 35 Prozent der Befragten aus Unternehmen mit mehr als 10.000 Mitarbeitern haben eine Richtlinie gegen Open Source. Das sind die Unternehmen, von denen man erwarten würde, dass sie am vorsichtigsten und richtliniengebunden sind.

Ironischerweise haben also im Vergleich zum letzten Jahr weniger Unternehmen eine Richtlinie gegen den Einsatz von OSS in der Produktion, doch setzen auch weniger Unternehmen OSS tatsächlich in der Produktion ein.

Die Sicherheitsbedenken

Bei der Frage nach den Sicherheitsrisiken von OSS in der Produktion (siehe: Abbildung 6) ist bei den meisten Risiken ein Anstieg gegenüber dem letzten Jahr zu verzeichnen. Die größten Zuwächse waren das Fehlen guter Verfahren für den Einsatz von OSS in der Produktion (+14 Prozentpunkte) und die Schwierigkeit zu wissen, was genau wir installiert haben und wo sie es auf dem neuesten Stand halten können (+7 Prozent) .

Ein besonderes Augenmerk liegt auf dem Packaging von OSS. Für die Umfrage ist 'Paketierung' als Prozess der Anpassung von OSS definiert. Dies kann die Änderung der Konfiguration einer Anwendung sein, der Aufbau einer Anwendung in einem Container oder die Änderung eines Basisbetriebssystems. Ähnliche Paketierungsprozesse werden auch von Unternehmen angewandt, die kommerziell unterstützte OSS anbieten, sowie von unabhängigen Software-anbietern (ISVs), die OSS als Teil eines kommerziellen Softwarepakets anbieten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung
Bildergalerie
Bildergalerie mit 8 Bildern

Laut Umfrage ist die Paketierung von OSS im Jahr 2022 ist die Paketierung von OSS nach wie vor schwierig und zeitaufwändig, wobei die Prozesse von zu vielen Tools, zu vielen Aufgaben und zu vielen Teams dominiert werden. Für Unternehmen, die OSS einsetzen oder den Einsatz von OSS in Erwägung ziehen, ist dies ein Schlüsselbereich, in dem eine Optimierung - entweder durch die Auswahl besserer Tools oder durch die Suche nach kommerziellen Quellen - erhebliche Vorteile bringen kann.

Tools: 70 Prozent der Unternehmen verwenden zwei oder mehr Werkzeuge, 36 Prozent sogar 3 oder mehr. Am weitesten verbreitet scheint die Verwendung von zwei Tools zu sein (34 Prozent).

Aufgaben: Bevor OSS in Produktion geht, wird eine Vielzahl von Aufgaben durchgeführt, darunter Funktions- (68 Prozent) und Lasttests (52 Prozent), Scannen nach Common Vulnerabilities and Exposures (CVEs) (48 Prozent) und Erstellen einer Softwarestückliste (34 Prozent). Unternehmen mit 100 oder weniger Mitarbeitern führen diese Aufgaben seltener durch: Funktionstests (57 Prozent), Lasttests (37 Prozent) und Scannen nach CVEs (34 Prozent).

Teams: Die Paketierungsaufgaben sind nach wie vor zwischen der Entwicklung (60 Prozent), dem DevOps-Team (60 Prozent), dem IT-Betrieb (47 Prozent) und dem Plattformbetrieb (27 Prozent) aufgeteilt. Auch scheinen mehrere Teams an der OSS-Paketierung beteiligt zu sein. Mit zunehmender Unternehmensgröße verlagert sich die Last von der Entwicklung (von 65 Prozent auf 55 Prozent) auf das DevOps-Team (von 46 Prozent auf 66 Prozent).

Die große Mehrheit der befragten Organisationen (95 Prozent) ist direkt an der Paketierung von Open-Source-Software beteiligt (siehe: Abbildung 7). Auf die Frage nach den für die Paketierung verwendeten Methoden geben 56 Prozent an, dass wir Software verwenden, die von der Gemeinschaft bereits paketiert wurde, und 55 Prozent, dass wir Open-Source-Software intern paketieren.

Weit weniger beliebt waren sind Dienstleister, die Open-Source-Software paketieren (28 Prozent), und bereits paketierte Open-Source-Software (28 Prozent) zum Kaufen. Die Analysten kommentieren: „Angesichts der Schwierigkeiten bei der Paketierung könnte man erwarten, dass die letzten beiden Optionen an Beliebtheit gewinnen.“

Erwartungsgemäß ist die Wahrscheinlichkeit, dass OSS intern zusammengepackt wird, bei Unternehmen mit 100 oder weniger Mitarbeitern geringer (47 Prozent), aber auch die Wahrscheinlichkeit, dass sie vorgefertigte Open-Source-Software kaufen, ist deutlich geringer (17 Prozent).

Bildergalerie
Bildergalerie mit 8 Bildern

Auf die Frage nach Funktionen zur Softwarepaketierung (siehe. Abbildung 8), die die Sicherheit verbessern würden, nennen die Befragten vor allem den sofortigen Zugriff auf vertrauenswürdige Sicherheits-Patches für Anwendungen oder Laufzeiten, Abhängigkeiten und Betriebssystemkomponenten (60 Prozent), die zentrale Einsicht in alle Scans zur Vereinfachung von Sicherheitsaudits (55 Prozent) und die automatische CVE- und Virenprüfung für jeden Container (51 Prozent).

(ID:48759453)