Podle nové studie hodnocení rizik vedené výzkumným střediskem Cybersecurity společnosti Synopsys téměř každá aplikace, kterou dnes používáte, obsahuje komponenty open-source a 91% používá knihovny, které jsou zastaralé nebo byly zcela opuštěny.
Studie také zjistila, že použití softwarových komponent open-source je stále základem pro vývoj. 7 z 10 řádků kódu v průměrné aplikaci pochází z projektu s otevřeným zdrojovým kódem.
Průměrný program má 445 komponent s otevřeným zdrojovým kódem, 49% nárůst oproti zjištěním z předchozího roku a 91% aplikací používá alespoň jednu komponentu, která je buď zastaralá o čtyři nebo více let, nebo byla opuštěna, a to bez dvou nebo více let bez jakákoli vývojová aktivita, podle studie.
Vážné obavy o zabezpečení plynoucí z softwaru s otevřeným zdrojovým kódem
Kvóty využití open-source
Zabezpečení softwaru s otevřeným zdrojovým kódem je jedním z 3 nejdůležitějších bezpečnostních problémů týmů aplikační bezpečnosti, jednoduše proto, že komponenty s otevřeným zdrojovým kódem hrají klíčovou roli v cyklech vývoje softwaru téměř v každém odvětví.
Jak se dalo očekávat, odvětví internetu a softwarové infrastruktury využívá 83% otevřených zdrojových kódových bází, první v seznamu, následovaní výrobci zařízení internetu věcí (IoT).
Telekomunikační a bezdrátový průmysl využívá 46%, což je nejmenší počet komponent s otevřeným zdrojovým kódem, přičemž robotické, výrobní a průmyslové řídicí systémy ponechávají sektory využívající polovinu.
Nejoblíbenější komponenty open-source
1. jQuery: knihovna JavaScript navržená ke zjednodušení HTML
2. Bootstrap: rámec CSS zaměřený na responzivní front-endový webový vývoj zaměřený na mobilní zařízení
3. Písmo skvělé: sada nástrojů pro písmo a ikonu
4. Lodash: knihovna JavaScript, která poskytuje obslužné funkce pro běžné programovací úlohy
5. jQuery UI: sbírka widgetů GUI, animovaných vizuálních efektů a témat
Zranitelnost komponent open-source
Skutečným problémem je skutečnost, že většina komponent zahrnuje komponenty s otevřeným zdrojovým kódem, které mají chyby zabezpečení, uvádí zpráva. Tři čtvrtiny komponent open-source mají známou chybu zabezpečení a polovina má kritickou chybu.
Dalším problémem je licencování, protože 68% kódových základen má nějakou formu konfliktu licencí, říká Synopsys.
Zpráva OSSRA je založena na auditu Synopsys u 1 253 aplikací a hodnocení společnosti ohledně otevřených zdrojových kódů z 20 000 zdrojů.
- Kybernetická bezpečnost