In 2020 bevatte 84% van de codebases minimaal één opensource kwetsbaarheid. Dat blijkt uit een rapport van Synopsys. Voor het rapport onderzocht Synopsys 1546 codebases in 17 verschillende sectoren, waaronder ruimtevaart, fintech, IoT en telecommunicatie.
Volgens Synopsys bevat 98% van de codebases opensource code. Dat is net wat minder dan een jaar geleden, toen nog 99% van de codebases opensource code bevatte. Feit blijft dat nog altijd de meeste applicaties opensource componenten hebben.
Een groot deel van de codebases (91%) heeft de afgelopen twee jaar geen enkele ontwikkeling gehad, concludeert Synopsys. Dat is een stijging van 88% ten opzichte van een jaar eerder. Dit hoeft niet direct een probleem te zijn. Het laat echter wel zien dat de opensource code waar veel applicaties afhankelijk van zijn al lange tijd geen nieuwe functies, verbeteringen en beveiligingsupdates hebben gehad.
Waarom kwetsbaarheden zich zo snel verspreiden
Hoe komt het dat zoveel opensource codebases kwetsbaarheden bevatten? Tim Mackey, principal security strategist bij Synopsys gelooft dat het probleem voor veel bedrijven vooral ligt bij het feit dat applicaties steeds grootschaliger worden.
“Als je kijkt naar het gemiddelde aantal componenten in een applicatie over de afgelopen drie jaar, is het van 298 uitgegroeid naar 445 en inmiddels is het 528”, laat Mackey weten aan VentureBeat. “Wanneer iemand update en patching processen ontwikkelde om 300 componenten per app te beheren in 2018, verwachtte diegene waarschijnlijk nog niet dat het gebruik van componenten in twee jaar tijd zo snel groeide”.
Volgens het US-CERT (het cybersecurity en infrastructuur agentschap in de VS) werden er in 2020 elke dag net iets meer dan 48 nieuwe kwetsbaarheden gerapporteerd. Voor veel bedrijven is het daarom een enorme uitdaging om bij te blijven met het uitbrengen van patches.
Niet alle kwetsbaarheden zijn even ernstig
De algemene opvatting binnen de industrie is dat er veel kwetsbaarheden in opensource code zitten en dat kwaadwillenden vastbesloten zijn om er misbruik van te maken. Dat betekent niet dat opensource-code kwetsbaarder is dan alternatieven. Integendeel: de code is publiek beschikbaar en kan dus door meerdere mensen worden gecheckt. Voor private code is het niet mogelijk om dergelijke cijfers te achterhalen.
Toch zijn niet alle kwetsbaarheden even ernstig. Veel bugs zijn maar beperkt te misbruiken door hackers. WhiteSource CEO en cofounder Rami Sass beweert dat slechts 15% tot 30% van de kwetsbaarheden effectief te misbruiken zijn.
Het is belangrijk om onderscheid te maken tussen gevaarlijke kwetsbaarheden en kleine foutjes. Uit het rapport van Synopsys blijkt dat het percentage van codebases met risicovolle kwetsbaarheden in 2020 met 11 procentpunten groeide naar 60%. Met risicovol wordt in dit geval bedoeld dat de kwetsbaarheid effectief en bewezen wordt misbruikt of geclassificeerd is als remote code execution kwetsbaarheid.