CIOProgramowaniePolecane tematy

Większość komercyjnych aplikacji zawiera dziurawy kod open source

Aż 99% popularnych aplikacji zawiera przynajmniej jeden element udostępniony na licencji open source. Problem w tym, że aż 91% z owych komponentów zawiera stary, niewspierany od lat i podatny na ataki kod. To wnioski z analiz przeprowadzonych przez firmę Synopsys.

Większość komercyjnych aplikacji zawiera dziurawy kod open source

Zjawisko powszechnego wykorzystania niespieranych już elementów kodu zostało szerzej opisany w przygotowanym przez ekspertów z Synopsys raporcie „2020 Open Source Security and Risk Analysis” (OSSRA). Dowiadujemy się z niego m.in. że korzystanie z udostępnionych na otwartej licencji open source komponentów jest absolutnym standardem w świecie oprogramowania komercyjnego – tylko 1% z przeanalizowanych przez firmę popularnych aplikacji komercyjnych nie zawierało żadnego elementu udostępnionego na licencji open source.

Nie ma w tym oczywiście niż nagannego. Problem pojawia się, gdy dowiadujemy się, że aż 91% owych komponentów open source stanowił kod stworzony w ramach projektów, które albo są starsze niż cztery lata, albo też nie były w żaden sposób aktualizowane w ciągu minionych 24 miesięcy. To zaś każe przypuszczać, że mogą one zawierać mniej lub bardziej poważne błędy oraz luki w zabezpieczeniach, stanowiąc tym samym potencjalny wektor ataku na wykorzystujące je aplikacje.

Aż w 68% przeanalizowanych programów znaleziono też błędy związane z licencjonowaniem oprogramowania o otwartym kodzie, a w 1/3 przypadków używany kod nie był opatrzony żadną identyfikowalną licencją. Oczywiście problemy te nie przekładają się bezpośrednio na bezpieczeństwo aplikacji – jednak mogą ściągnąć na firmę używającego błędnie licencjonowane oprogramowanie kłopoty prawne, związane z kwestiami własności intelektualnej.

Raport Synopsys przygotowano w oparciu o analizę ponad 1,2 tys. oferowanych na zasadach komercyjnych aplikacji, których kod był dostępny do wglądu. Analizy te potwierdziły twierdzenie, że „stary kod to dziurawy kod” było w znacznej mierze zasadne, gdyż aż w 75% komponentów open source znaleziono znane i niezałatane błędy w zabezpieczeniach. Co więcej aż 49% z nich stanowiły błędy sklasyfikowane jako poważne. Dodajmy, że przed rokiem mniejsza była zarówno ogólna liczba błędów znalezionych w komponentach open-source (wyniosła wtedy 60%), jak i liczba poważnych błędów (40% w 2019 r.).

Z tegorocznej edycji raportu Synopsys dowiadujemy się również, że używanie przestarzałego i zawierającego błędy w oprogramowania open source nie jest jedynym grzechem twórców komercyjnych aplikacji. Aż w 68% przeanalizowanych programów znaleziono też błędy związane z licencjonowaniem oprogramowania o otwartym kodzie, a w 1/3 przypadków używany kod nie był opatrzony żadną identyfikowalną licencją. Oczywiście problemy te nie przekładają się bezpośrednio na bezpieczeństwo aplikacji – jednak mogą ściągnąć na firmę używającego błędnie licencjonowane oprogramowanie kłopoty prawne, związane z kwestiami własności intelektualnej.

Aż 91% owych komponentów open source stanowił kod stworzony w ramach projektów, które albo są starsze niż cztery lata, albo też nie były w żaden sposób aktualizowane w ciągu minionych 24 miesięcy. To zaś każe przypuszczać, że mogą one zawierać mniej lub bardziej poważne błędy oraz luki w zabezpieczeniach, stanowiąc tym samym potencjalny wektor ataku na wykorzystujące je aplikacje

Zalecanym przez ekspertów z Synopsys rozwiązaniem tego problemu jest m.in. przeprowadzanie starannego audytu kodu używanego we wszelkich projektach aplikacyjnych co pozwolić ma na łatwe identyfikowanie wszelkich problematycznych komponentów zarówno pod kątem ich bezpieczeństwa, jak i kwestii prawnych.

Więcej informacji znaleźć można w dostępnym na stronie firmy Synopsys raporcie „2020 Open Source Security and Risk Analysis”.

Tagi

Podobne

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *