Openbron code is alomtegenwoordig, net als de kwetsbaarheden

Openbron code is alomtegenwoordig in commerciële en interne software applicaties, maar een recente studie toont dat de veiligheid ervan niet overal op niveau is. Het Open Source Security and Risk Analysis (OSSRA) rapport van 2018 toont heel dat pittige, zorgwekkende resultaten.

Het rapport onderzocht data uit meer dan 1.100 commerciële codebases van 2017. Daaruit blijkt dat bijna elke codebase (96%) ergens wel gebruik maakt van openbron componenten. Dat hoge percentage blijft ongeveer status quo vergeleken met het rapport van vorig jaar, maar vertelt niet het hele verhaal. Het is vooral het aantal openbron componenten per codebase dat flink stijgt van 36% in 2017 naar 57% in 2018.

“Heel wat applicaties bevatten nu meer openbron code dan eigen code,” zegt het rapport.

Kwetsbaarheden

Spijtig genoeg stijgt het aantal kwetsbaarheden ook flink. In 2018 bevatte 78% van alle codebases minstens één kwetsbaarheid, een stijging van 11% vergeleken met 2017. Het gemiddeld aantal bugs per codebase is 64, een stijging van 134%. Ongeveer 54% van deze bugs mogen worden geklasseerd als ‘hoge kwetsbaarheid’.

Nog opvallender is dat 17% van de codebases volgens het OSSRA-rapport nog steeds een bekend lek bevat zoals bijvoorbeeld Heartbleed. Deze bug binnen de openbron OpenSSL cryptography library, is nog steeds aanwezig in 4% van de gescande codebases vier jaar nadat het lek het internet veroverde.

De meeste veiligheidsrisico’s werden gedetecteerd in internet en software infrastructuur (67%), intenet en mobiele apps (60%) en virtual reality, gaming, entertainment en media (50%).