Een studie van RiskSense naar de veiligheid van opensourceprojecten legt een opvallende trend bloot. Het aantal kwetsbaarheden in opensource neemt snel toe en verdubbelde in 2019 ten opzichte van het jaar ervoor.
RiskSense analyseerde de 54 populairste opensourceprojecten en stelde vast dat het aantal kwetsbaarheden in deze software was verdubbeld, van 421 in 2018 tot 968 vorig jaar. Dat legt een trend bloot van een snelle toename van kwetsbaarheden in opensource: tussen 2015 en 2020 vond het bedrijf in totaal 2.694 bugs in populaire opensourceprojecten.
Het rapport bevat geen analyse van zeer bekende opensourceprojecten zoals Linux, WordPress en Drupal, omdat die goed gemonitord worden en bugs vaak media-aandacht krijgen, zodat ze relatief snel worden gepatcht. In plaats daarvan keek RiskSense naar minder gekende projecten, die desondanks haast net zo wijdverspreid worden gebruikt. Denk aan tools als Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark enzovoort.
Trage rapportering
Een bijkomend probleem is dat een groot deel van de bugs in deze opensourceprojecten te laat worden gerapporteerd bij de National Vulnerability Database (NVD). Soms zelfs pas weken nadat ze reeds publiek bekend werden gemaakt.
De NVD dient als basis voor cybersecurity- en softwarebedrijven om hun beveiligingswaarschuwingen uit te sturen. Een vertraagde rapportering kan er dus toe leiden dat bedrijven langer dan nodig blootgesteld blijven aan een nieuwe aanval. Volgens de studie van RiskSense duurde het gemiddeld 54 dagen voordat een kwetsbaarheid bij de NVD werd gerapporteerd.
Misbruik bugs
Een kwetsbaarheid wordt pas echt gevaarlijk wanneer aanvallers er een exploit voor ontwikkelen en die gaan inzetten. Een groot aantal bugs vertaalt zich niet altijd in een groot aantal van deze zogenaamde ‘weaponized bugs’, de ene kwetsbaarheid is eenvoudiger te misbruiken dan de andere.
Zo noteerde RiskSense slechts negen kwetsbaarheden voor virtualisatiesoftware Vagrant, maar voor zes daarvan werden exploits ontwikkeld. Dat komt neer op twee op drie. Jenkins en MySQL hebben sinds 2015 het meeste weaponized bugs, allebei 15, maar dan wel op een totaal van respectievelijk 646 en 624 kwetsbaarheden, waardoor het procentueel veel lager ligt.
Beterschap nodig
RiskSense besluit dat de situatie absoluut moet verbeteren, omdat opensource vandaag alomtegenwoordig is in commerciële software en opensourceprojecten “aan een historisch snel tempo nieuwe kwetsbaarheden genereren.”