Van alle commerciële softwareprogramma’s bevat maar liefst 99% een opensource-component. In 91% van deze gevallen gaat het om opensource software die gedateerd is. Bij deze gevallen bevat de code componenten die meer dan vier jaar gedateerd waren of in de laatste twee jaar niet meer geüpdatet zijn.
De cijfers over verouderde opensource software kwamen naar voren tijdens een onderzoek door Synopsys Cybersecurity Research Center (CyRC). De resultaten zijn gebaseerd op meer dan 1250 audits van commerciële codebases. In een studie door Red Hat zagen we eerder al dat bedrijven steeds vaker voor opensource kiezen. Nu blijkt dat deze opensource-componenten de nodige problemen met zich meebrengen.
Wat nog zorgwekkender is dan de verouderde software in 91% van softwareprogramma’s, is dat 75% van de gecontroleerde codebases opensource-componenten bevatte waarvan bekend is dat ze kwetsbaarheden bevatten. Sinds 2019 is het aantal gevonden opensource-componenten met kwetsbaarheden met 60% gestegen. Bij bijna de helft van de codebases gaat het om high-risk kwetsbaarheden. Dat aantal is gestegen met 40% vergeleken met vorig jaar.
Verontrustende cijfers
“In de cijfers kunnen we zien hoe organisaties blijven worstelen om de risico’s van de opensource software die ze gebruiken effectief te managen. Een nauwkeurige inventaris van externe software-componenten, waaronder opensource-dependencies, onderhouden en up-to-date houden is een belangrijk uitgangspunt om risico’s aan te pakken.” Zo concludeert Tim Mackey, CyRC’s principal veiligheidsstrateeg.
Naast de verontrustende veiligheidscijfers, ontdekte CyRC ook dat 68% van de codebases problemen met opensource-licenties bevatten. Sterker nog, 33% bevatte opensource-code zonder herkenbare vergunning. Hoewel deze fouten minder erg zijn dan beveiligingsproblemen, kunnen potentiële intellectuele eigendom-conflicten bedrijven ook in gevaar brengen.
Volgens Dale Gardner, analist bij Gartner, moet er een materiaallijst voor software komen om het probleem met opensource-componenten goed aan te pakken. Een dusdanige lijst geeft bedrijven een overzichtelijk beeld van de opensource en commerciële componenten en frameworks die gebruikt worden in een applicatie. Gartner is van mening dat organisaties constant moeten werken aan een gedetailleerde software materiaallijst die laat zien uit welke componenten de software is gebouwd.