Het gebruik van kwetsbare opensource-componenten in enterprise-software is in het afgelopen jaar meer dan verdubbeld. Dat blijkt uit een nieuw rapport van DevOps-specialist Sonatype.
Elk bedrijf wordt een softwarebedrijf en open source speelt daarbij een belangrijke rol. Heel wat ondernemingen doen beroep op opensource-technologieën voor het verbeteren van hun bedrijfsprocessen, maar slagen er niet altijd in om bij te houden op welke projecten ze beroep doen en hoe veilig die zijn.
Volgens het vierde jaarlijkse Software Supply Chain Report van Sonatype is het aantal kwetsbare opensource-componenten in enterprise-software met 120 procent toegenomen in de voorbije twaalf maanden. Dat is ondanks een aantal high-profile incidenten zoals de Equifax-hack, waarbij een lek in Apache Struts als aanvalsvector werd gebruikt. Elke maand wordt nog zo’n 80.000 keer een kwetsbare versie van Apache Struts gedownload.
Eén op acht
Sonatype schat dat de gemiddelde enterprise jaarlijks zo’n 170.000 opensource-componenten downloadt, waarvan tot één op acht een kwetsbaarheid vertoont. Ondertussen bedraagt de gemiddelde tijd tot een kwetsbaarheid wordt misbruikt nog maar drie dagen.
De DevOps-specialist schat verder dat ongeveer 1,3 miljoen kwetsbaarheden in opensource-componenten niet in een van de publieke databanken werden geregistreerd, waardoor het moeilijker is om deze bugs te detecteren en aan te pakken.
Automatische governance
Het rapport van Sonatype is gebaseerd op een analyse van zowel publieke data als propriëtaire informatie die de softwareleverancier zelf verzamelt. Sonatype specialiseert zich in het automatiseren van open source software governance. Niet toevallig is dat ook de oplossing die het bedrijf naar voren schuift om kwetsbare opensource-componenten in enterprise-software tot 50 procent te verminderen.
In mei toonde een rapport van Synopsys aan dat opensource-componenten door 96 procent van de ondernemingen wordt gebruikt. In 78 procent van de gevallen is er sprake van een codebase met minstens één kwetsbaarheid in.