Er ligt een mijnenveld aan beveiligingsproblemen onder het oppervlak van moderne software, beweert Veracode in zijn nieuwste rapport. Dat komt doordat ontwikkelaars externe opensource-bibliotheken toevoegen aan hun software, maar deze niet updaten.
“De meerderheid van de applicaties gebruikt tegenwoordig opensource-code. De beveiliging van een bibliotheek kan snel veranderen. Daarom is het essentieel dat je in kaart brengt wat er in een applicatie zit”, zegt Chris Eng, chief research officer bij Veracode. “We ontdekten dat ontwikkelaars een bibliotheek kiezen en deze vervolgens zelden updaten”, aldus Eng.
In zijn rapport, genaamd ‘State of Software Security v11: Open Source Edition’, onthult Veracode dat 80% van de externe bibliotheken in applicaties nooit worden geüpdatet. Bijna alle geanalyseerde code repositories bevatte ten minste één kwetsbaarheid.
Een ‘instellen en vergeten’-mentaliteit, zoals veel ontwikkelaars hebben, valt niet goed te praten, vindt Veracode. In plaats daarvan moeten ontwikkelaars alle onderdelen van hun software up-to-date houden en snel reageren wanneer er kwetsbaarheden worden ontdekt.
Updaten lost 92% van de fouten op
Voor zijn rapport gebruikte Veracode data van 13 miljoen scans, die 86.000 verschillende repositories en 301.000 unieke bibliotheken omvatten. Ook ondervroeg Veracode bijna 2.000 ontwikkelaars.
Uit de analyse van Veracode blijkt dat maar liefst 92% van de fouten in externe bibliotheken kan worden opgelost door simpelweg te updaten naar de nieuwste versie. Twee derde van de oplossingen is ‘klein en verstoort de functionaliteit van zelfs de meest complexe software niet’.
Verder blijkt uit het rapport dat een kleine meerderheid (52%) van de ontwikkelaars beweert een formeel proces te hebben voor het selecteren van externe bibliotheken. Een kwart geeft aan niet zeker te weten of er een proces voor is en dat beveiliging na functionaliteit en licenties de derde grootste zorg is bij het kiezen van een bibliotheek.
Alarmerend, maar niet verrassend
“Hoewel de resultaten alarmerend zijn, zijn ze niet geheel verrassend”, legt Sean Wright uit aan The Register. “We zien steeds weer dat bibliotheken niet worden geüpdatet. Vaak komt dat doordat bibliotheken niet goed bijgehouden worden.”
Uiteraard verwijst Veracode in zijn rapport naar zijn eigen scantechnologie waarmee je bibliotheken kunt scannen. “De groeiende populariteit van opensource, samen met een steeds veeleisender ontwikkelproces, resulteert in een grotere kans op software kwetsbaarheden”, beweert Chris Wysopal, co-founder en CTO van Veracode.