Według nowego badania oceny ryzyka przeprowadzonego przez Centrum Badań nad Cyberbezpieczeństwem Synopsys, prawie każda aplikacja, której używasz obecnie, zawiera komponenty open source, a 91% korzysta z bibliotek, które są nieaktualne lub zostały całkowicie porzucone.
Badanie wykazało również, że podstawą rozwoju wciąż jest stosowanie komponentów oprogramowania typu open source. 7 z 10 linii kodu w przeciętnej aplikacji pochodzi z projektu open source.
Przeciętny program składa się z 445 komponentów open source, co stanowi wzrost o 49% w porównaniu z wynikami z poprzedniego roku, a 91% aplikacji korzysta z co najmniej jednego komponentu, który jest przestarzały o cztery lub więcej lat lub został porzucony, pozostawiając dwa lub więcej lat bez jak wynika z badania, wszelkie działania rozwojowe.
Poważne obawy dotyczące bezpieczeństwa wynikające z oprogramowania typu open source
Limity wykorzystania oprogramowania typu open source
Bezpieczeństwo oprogramowania open source jest jednym z trzech najważniejszych problemów bezpieczeństwa dla zespołów bezpieczeństwa aplikacji, po prostu dlatego, że komponenty open source odgrywają kluczową rolę w cyklach tworzenia oprogramowania w prawie każdej branży.
Zgodnie z oczekiwaniami, sektor infrastruktury internetowej i oprogramowania wykorzystuje 83% baz kodów open source, pierwsze na liście, a następnie producenci urządzeń Internetu rzeczy (IoT).
Branża telekomunikacyjna i bezprzewodowa wykorzystuje 46%, najmniej komponentów open source, pozostawiając robotykę, produkcję i systemy sterowania przemysłowego, sektory wykorzystujące połowę.
Najpopularniejsze komponenty open source
1. jQuery: biblioteka JavaScript zaprojektowana w celu uproszczenia HTML
2. Bootstrap: framework CSS ukierunkowany na responsywne, front-endowe tworzenie stron internetowych z myślą o urządzeniach mobilnych
3. Font Awesome: zestaw narzędzi czcionek i ikon
4. Lodash: biblioteka JavaScript udostępniająca funkcje narzędziowe do typowych zadań programistycznych
5. jQuery UI: zbiór widżetów GUI, animowanych efektów wizualnych i motywów
Luki w zabezpieczeniach komponentów open source
Jak wynika z raportu, prawdziwym problemem jest to, że większość komponentów zawiera komponenty open source, które mają luki. Trzy czwarte komponentów open source ma znaną lukę, a połowa ma krytyczną wadę.
Innym problemem jest licencja, ponieważ 68% baz kodów ma jakąś formę konfliktu licencyjnego, mówi Synopsys.
Raport OSSRA opiera się na przeprowadzonej przez Synopsys audycie 1253 aplikacji oraz ocenie firmy dotyczącej baz kodów open source z 20 000 źródeł.
- Bezpieczeństwo cybernetyczne