Letztendlich ist man für das Endprodukt selbst verantwortlich, inkl. der verwendeten Komponenten. Viel Spaß dabei auf juristischem Wege etwas erreichen zu wollen wenn ihr die Software nutzt ohne Support von den Autoren eingekauft zu haben...
Wie in anderen Bereichen auch, schaut man dass man die Angriffsflächen minimiert.
Das heißt letztendlich nicht die Angriffsfläche und Komplexität zu erhöhen und noch mehr Software zu verwenden, die ihrerseits neue Probleme und Verwundbarkeiten mit sich bringt.
Das heißt sich anschauen was man wirklich als Framework und 3rd Party Libraries benötigt. Das heißt auch mal Reviewen was man sich da so ans Bein bindet. Ein gut gepflegtes Projekt enthält auch Dokus, Unittests, Tests, etc.. Wie ist das Team um die OSS Software organisiert? Wer kann alles den Code ändern? Etc.
Da man sich eh an die Best Practices hält, reviewed man regelmßäig die eigene Software und auch die 3rd Party Software. Die Tools dafür (z.B. statische Quellcodeananalyse, etc.) hat man sowieso. Die Ausrede "keine Zeit" kann man nicht ernsthaft gelten lassen, da einmal eingerichtet (siehe das Thema CI/ CD) die Berichte automatisiert generiert werden können. Man muss nur drüber schauen und bewerten wo man was anpacken muss.
Im Zweifel muss man auch auf seine CI/ CD Infrastruktur schauen. Die wenigsten großen Organisationen werden es erlauben die Build Chain komplett im Internet zu haben. Die kleinen und mittleren Organisationen sollten entsprechend auch diesen Aspekt im Auge behalten.
An der Stelle sollten die Anbieter von IT Lösungen schon darauf schauen was der Kunde braucht. Insbesondere gilt es auch die IT Richtlinien/ Sicherheitsrichtlinien der Kunden zu berücksichtigen. Bei OSS Software ist es etwas komplizierter. Generell muss man sich aber fragen für wen die Software geschrieben wird/ wurde. Für den Eigenbedarf? Als Produkt/ Lösung für die Allgemeinheit? Die Anforderungen an die Software sind unterschiedlich, je nachdem wo sie eingesetzt wird. Manchmal passt es beim bestem Willen halt nicht. Selbst wenn etwas auf den ersten Blick kostenlos ist, kann es doch im Nachhinein erhebliche Folgeaufwände verursachen. Gerade durch so etwas wie die Supply Chain Thematik, die dann auch maßgeblich Einfluß auf die Gesamtinfrastruktur hat.