Die auf Open-Source-Audits spezialisierte Firma Black Duck hat die Ergebnisse ihrer letzten Softwareprüfungen vorgestellt. Die 2017 Open Source Security and Risk Analysis (OSSRA) fasst die Resultate von mehr als 1000 Audits zusammen. Demnach enthielten rund 96 % der untersuchten Enterprise-Anwendungen Open-Source-Software.
Im Schnitt verwendeten die Entwickler 147 einzelne Open-Source-Komponenten, jedes Programm bestand durchschnittlich zu einem Drittel aus freier Software. Am häufigsten stieß Black Duck auf die JavaScript-Bibliothek jQuery, das CSS-Framework Bootstrap, das Test-Framework JUnit, das Framework Apache Log4j und Programme aus dem Apache-Commons-Projekt.
Die offenbar recht sorglose Verwendung von Open-Source-Software in kommerziellen Anwendungen schafft aber auch Probleme. So stellte Black Duck fest, dass in mehr als 60 % der untersuchten Programme bekannte Schwachstellen steckten, die in den einzelnen Open-Source-Komponenten längst behoben sind. Besonders betroffen waren dabei Anwendungen für die Finanzwirtschaft, den Einzelhandel und E-Commerce. Außerdem fielen den Softwarespezialisten zahlreiche Lizenzverstöße auf. So stießen sie bei 85 % der untersuchten Anwendungen auf Komponenten, bei denen die Vorschriften der Lizenzvereinbarung nicht eingehalten wurden. Besonders häufig gab es Konflikte mit der GNU General Public License (GPL).
Den vollständigen Report gibt es bei Black Duck nach einer Registrierung kostenlos zum Herunterladen.