Die meisten (auch kommerzielle) Anwendungen nutzen teilweise Open-Source-Komponenten, um das Rad nicht immer wieder neu zu erfinden und Ressourcen zu sparen. Das hat sich aber nach der aktuellen Risikoanalyse des Spezialisten für Open-Source-Audits Black Duck Software wegen der dabei teilweise genutzten veralteten und mit Sicherheitslücken behafteten Open-Source-Komponenten als Problem herausgestellt.

Black Duck Software hat für diese Analyse mehr als 1000 kommerzielle Anwendungen meist anlässlich von Übernahmen untersucht. Im Schnitt stammte ein gutes Drittel des gesamten Codes aus Open-Source-Projekten; am häufigsten wurden jQuery, Bootstrap, JUnit, Apache Log4j sowie Software aus dem Apache-Commons-Projekt genutzt.

Zwei Drittel der untersuchten Programme nutzen allerdings quelloffene Komponenten in Versionen mit lange bekannten Sicherheitslücken. Darunter sind auch Schwachstellen mit hohem Risiko.

Ausgerechnet in den Branchen Handel und E-Commerce, Internet und Software-Infrastruktur sowie bei Finanzdienstleistern und Fintechs fand Black Duck die höchsten Anteile an Anwendungen mit gefährlichen Sicherheitslücken.

Viele dieser Lücken sind böse alte Bekannte: Sogar der seit drei Jahren gestopfte OpenSSL-Bug Heartbleed fand sich noch bei 1,5 Prozent der untersuchten Programme. Das größte Risiko ging von den Open-Source-Komponenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat , dem Spring-Framework und OpenSSL aus.

Die vollständige Studie steht nach der  Registrierung bei Black Duck Software zum Download zur Verfügung.