Aż 99% popularnych aplikacji zawiera przynajmniej jeden element udostępniony na licencji open source. Problem w tym, że aż 91% z owych komponentów zawiera stary, niewspierany od lat i podatny na ataki kod. To wnioski z analiz przeprowadzonych przez firmę Synopsys.
Zjawisko powszechnego wykorzystania niespieranych już elementów kodu zostało szerzej opisany w przygotowanym przez ekspertów z Synopsys raporcie “2020 Open Source Security and Risk Analysis” (OSSRA). Dowiadujemy się z niego m.in. że korzystanie z udostępnionych na otwartej licencji open source komponentów jest absolutnym standardem w świecie oprogramowania komercyjnego – tylko 1% z przeanalizowanych przez firmę popularnych aplikacji komercyjnych nie zawierało żadnego elementu udostępnionego na licencji open source.
Nie ma w tym oczywiście niż nagannego. Problem pojawia się, gdy dowiadujemy się, że aż 91% owych komponentów open source stanowił kod stworzony w ramach projektów, które albo są starsze niż cztery lata, albo też nie były w żaden sposób aktualizowane w ciągu minionych 24 miesięcy. To zaś każe przypuszczać, że mogą one zawierać mniej lub bardziej poważne błędy oraz luki w zabezpieczeniach, stanowiąc tym samym potencjalny wektor ataku na wykorzystujące je aplikacje.
Aż w 68% przeanalizowanych programów znaleziono też błędy związane z licencjonowaniem oprogramowania o otwartym kodzie, a w 1/3 przypadków używany kod nie był opatrzony żadną identyfikowalną licencją. Oczywiście problemy te nie przekładają się bezpośrednio na bezpieczeństwo aplikacji – jednak mogą ściągnąć na firmę używającego błędnie licencjonowane oprogramowanie kłopoty prawne, związane z kwestiami własności intelektualnej.
Raport Synopsys przygotowano w oparciu o analizę ponad 1,2 tys. oferowanych na zasadach komercyjnych aplikacji, których kod był dostępny do wglądu. Analizy te potwierdziły twierdzenie, że „stary kod to dziurawy kod” było w znacznej mierze zasadne, gdyż aż w 75% komponentów open source znaleziono znane i niezałatane błędy w zabezpieczeniach. Co więcej aż 49% z nich stanowiły błędy sklasyfikowane jako poważne. Dodajmy, że przed rokiem mniejsza była zarówno ogólna liczba błędów znalezionych w komponentach open-source (wyniosła wtedy 60%), jak i liczba poważnych błędów (40% w 2019 r.).
Z tegorocznej edycji raportu Synopsys dowiadujemy się również, że używanie przestarzałego i zawierającego błędy w oprogramowania open source nie jest jedynym grzechem twórców komercyjnych aplikacji. Aż w 68% przeanalizowanych programów znaleziono też błędy związane z licencjonowaniem oprogramowania o otwartym kodzie, a w 1/3 przypadków używany kod nie był opatrzony żadną identyfikowalną licencją. Oczywiście problemy te nie przekładają się bezpośrednio na bezpieczeństwo aplikacji – jednak mogą ściągnąć na firmę używającego błędnie licencjonowane oprogramowanie kłopoty prawne, związane z kwestiami własności intelektualnej.
Aż 91% owych komponentów open source stanowił kod stworzony w ramach projektów, które albo są starsze niż cztery lata, albo też nie były w żaden sposób aktualizowane w ciągu minionych 24 miesięcy. To zaś każe przypuszczać, że mogą one zawierać mniej lub bardziej poważne błędy oraz luki w zabezpieczeniach, stanowiąc tym samym potencjalny wektor ataku na wykorzystujące je aplikacje
Zalecanym przez ekspertów z Synopsys rozwiązaniem tego problemu jest m.in. przeprowadzanie starannego audytu kodu używanego we wszelkich projektach aplikacyjnych co pozwolić ma na łatwe identyfikowanie wszelkich problematycznych komponentów zarówno pod kątem ich bezpieczeństwa, jak i kwestii prawnych.
Więcej informacji znaleźć można w dostępnym na stronie firmy Synopsys raporcie “2020 Open Source Security and Risk Analysis”.
