Secondo un nuovo studio di valutazione del rischio condotto dal Cybersecurity Research Center di Synopsys, quasi tutte le applicazioni che si utilizzano oggi contengono componenti open source e il 91% utilizza librerie obsolete o che sono state del tutto abbandonate.
Lo studio ha anche scoperto che l'uso di componenti software open source è ancora la base per lo sviluppo. 7 righe di codice su 10 nell'applicazione media provengono da un progetto open source.
Il programma medio ha 445 componenti open source, un aumento del 49% rispetto ai risultati dell'anno precedente e il 91% delle applicazioni utilizza almeno un componente che è obsoleto di quattro o più anni o è stato abbandonato, rimanendo due o più anni senza qualsiasi attività di sviluppo, secondo lo studio.
Gravi problemi di sicurezza derivanti dal software open source
Quote di utilizzo open source
La sicurezza del software open source è una delle 3 principali preoccupazioni di sicurezza per i team di sicurezza delle applicazioni, semplicemente perché i componenti open source svolgono un ruolo fondamentale nei cicli di sviluppo del software in quasi tutti i settori.
Come previsto, il settore delle infrastrutture software e Internet utilizza l'83% dei codebase open source, il primo nell'elenco, seguito dai produttori di dispositivi Internet of things (IoT).
L'industria delle telecomunicazioni e del wireless utilizza il 46%, la quantità minima di componenti open source, lasciando i sistemi di robotica, produzione e controllo industriale, settori che ne utilizzano la metà.
I componenti open source più popolari
1. jQuery: una libreria JavaScript progettata per semplificare l'HTML
2. Bootstrap: un framework CSS diretto allo sviluppo web front-end reattivo e mobile-first
3. Carattere fantastico: un kit di strumenti per caratteri e icone
4. Lodash: una libreria JavaScript che fornisce funzioni di utilità per attività di programmazione comuni
5. jQuery UI: una raccolta di widget GUI, effetti visivi animati e temi
Vulnerabilità dei componenti open source
Il vero problema è il fatto che la maggior parte dei componenti include componenti open source che presentano vulnerabilità, secondo il rapporto. Tre quarti dei componenti open source hanno una vulnerabilità nota e la metà ha un difetto critico.
Un altro problema è la licenza perché il 68% delle basi di codice presenta una qualche forma di conflitto di licenza, afferma Synopsys.
Il rapporto OSSRA si basa sull'audit di Synopsys di 1.253 applicazioni e sulla valutazione dell'azienda di codebase open source da 20.000 fonti.
- Cybersecurity