Die neue ISO/IEC 5230 Zertifizierung von Open Source Software Compliance Management ermöglicht Vertrauen in Urheber- und Nutzungsrechte und Reduzierung von Sicherheitsrisiken in der Softwareentwicklung

Softwareentwicklung mit Open Source Komponenten

Moderne Softwareentwicklung setzt in beinahe allen Bereichen auf die breite Verwendung von Open Source Software. Nicht verwunderlich, denn Benefits des Open Source Software Modells, etwa Time-To-Market, Innovation, Share&Collaborate und Security, versprechen wesentliche Marktvorteile.

Auch im Finanzsektor ist Open Source längst angekommen. Die Fintech Open Source Foundation, deren Governing Board u. a. Morgan Stanley, Royal Bank of Canada, Deutsche Bank, JP Morgan und Citi angehören, schafft Open Source Lösungen explizit für Finanzdienstleister. Die Kollaboration in der Softwareentwicklung ist hier längst auf der Überholspur.

Lizenzverstöße als kritischstes Risiko

Open Source Software ist – entgegen teilweise bestehender Einschätzungen – nicht als Public-Domain anzusehen. Das Recht zur Nutzung steht unter Lizenzbedingungen. Die Nichterfüllung von Open Source Software Lizenz-Obligationen kann daher zum Verlust der Nutzungsrechte am eigenen Produkt, Schadenersatzzahlungen als auch zum Verlust des Intellectual Properties an eigenen Weiterentwicklungen führen.

In der Praxis sichern dennoch viele Unternehmen Open Source Compliance nur oberflächlich. In einer Studie* von 1.200 geprüften Anwendungen in 2019 attestiert etwa Synopsis, ein Anbieter für eine Toolsuite zum Scan von Source Code, für 73 % aller Anwendungen Lizenz-Konflikte. Open Source Compliance wird von Software Dienstleistern häufig nur nach explizitem Wunsch und gegen Aufpreis erbracht. Das Ergebnis ist somit häufig Incompliance und damit Risk-by-Default.

Weitere Risiken können sich ergeben, wenn die in der Softwareentwicklung verwendeten (Open Source) Komponenten nicht vollständig erkannt und bekannt sind und nicht in entsprechenden „Bill of Materials“ (BoM) verwaltet werden. BoMs sind notwendig, um auftretende Sicherheitslücken (Common Vulnerabilities and Exposures, CVE) schnell, effektiv und effizient managen zu können. Die Identifikation von Open Source Software Komponenten sollte hierbei nicht ausschließlich auf technischen, automatischen Listen von Paketmanagern basieren, sondern fokussierte Reviews und tw. auch Snippet Scanning berücksichtigen.

Sicherheit durch Zertifizierung

Eine Zertifizierung von PwC nach der gerade veröffentlichten ISO/IEC 5230:2020 ist das Gütesiegel für Open Source Compliance Programme. Die kontrollierte und transparente Verwendung, Distribution und Kontribution von Open Source Software ermöglicht Vertrauen in die eigenen und zugekauften Lösungen. Auch die Fintech Open Source Foundation definiert das Überwachen und Kontrollieren jeglicher Open Source Verwendung als Mindestanforderung der Open Source Readiness Assessments für Financial Services.

Finden Sie mehr Informationen unter: https://www.pwc.de/opensource/certification

 

* https://www.synopsys.com/software-integrity/resources/analyst-reports/2020-open-source-security-risk-analysis.html

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */