Codurile open source și vulnerabilitățile sunt omniprezente


Codul open source se regăsește atât în ​​aplicațiile software comerciale, cât și în cele interne, iar managementul securității nu ține pasul, arată un studiu recent.

Pe baza unei analize a datelor cu mai mult de 1100 de coduri comerciale auditate în 2017, autorii raportului 2018 Open Security and Risk Analysis (OSSRA) al Black Duck de la Synopsys au constatat că aproape fiecare cod de bază (96%) conține componente open source. Nu este deloc o veste nouă (această rată a rămas aceeași în fiecare an), dar o privire mai aprofundată asupra situației dezvăluie o imagine mai interesantă.

Procentul componentelor open source în bazele de coduri ale aplicațiilor auditate a crescut de la 36% la 57% între rapoartele făcute în 2017 și 2018. "Multe aplicații conțin acum o sursă mai deschisă decât un cod proprietar", se arată în raport. Fiecare bază de date a conținut o medie de 257 componente open source - o creștere de 75% față de ediția anterioară a raportului.

(In)securitate

Îngrijorător, vulnerabilitățile s-au intensificat și s-au înmulțit în același timp, deoarece 78% din bazele de coduri conțineau cel puțin o vulnerabilitate, în comparație cu 67% în raportul precedent. Numărul mediu de găuri de securitate găsite pe o bază de coduri a fost de 64 - o creștere de 134%. Cele mai multe dintre bug-uri (54%) au fost clasificate ca fiind de mare risc.

Codul sursă deschis

Credite: OSSRA, synopsys.com

În plus, 17% din bazele de coduri incluse în raportul OSSRA conțineau cel puțin o vulnerabilitate cunoscută, cum ar fi HeartbleedPOODLE , LogjamFREAK și DROWN - în ciuda atenției deosebite pe care aceste bug-uri le-au primit în ultimii câțiva ani. De exemplu, Heartbleed, un bug care afectează biblioteca criptografică open-source OpenSSL, a fost găsit în 4% dintre bazele de coduri scanate, la patru ani după ce această vulnerabilitate a luat cu asalt securitatea online.

Vă amintiți de hack-ul Equifax? Atacul, care a început în mai 2017 și a fost dezvăluit patru luni mai târziu, a fost facilitat de o vulnerabilitate în renumitul pachet software open source Apache Struts. Patch-ul fusese pus la dispoziție, de fapt, cu două luni înainte de hack. Raportul OSSRA a constatat că o treime din bazele de coduri analizate, care utilizează Apache Struts într-o aplicație, prezintă același defect.

Din cele nouă industrii incluse în raport, cele mai mari proporții de baze de cod cu riscuri ridicate de securitate au fost detectate în aplicațiile de internet și infrastructura software (67%), internet și aplicații mobile (60%), precum și realitatea virtuală, jocuri, divertisment și media (50%).

După cum a notat OSSRA, în anul 2017 au fost descoperite aproape 5000 de vulnerabilități open source, ajungându-se la un total de aproape 40 000, din anul 2000 încoace. Numărul acestora este, de fapt, o parte a unei tendințe mai mari, sursă și cod de proprietate combinat. Numărul defectelor raportate a crescut de la 6.400 în 2016 la peste 14.700 în 2017.

Tomas Foltyn May 31, 2018

Lasa un comentariu