78% van de applicaties bevat open source-code met beveiligingsprobleem

Het gebruik van open source code in bedrijfsapplicaties neemt toe. In 96% van de applicaties die in 2017 door Black Duck Software zijn geaudit wordt open source code gebruikt. Er is echter ook slecht nieuws: 78% van de onderzochte applicaties blijkt tenminste één open source beveiligingsprobleem te bevatten.

Dit blijkt uit het 2018 Open Source Security and Risk Analysis (OSSRA) rapport van Black Duck, dat is gebaseerd op een analyse van 1.100 applicaties door Synopsys. De meeste kwetsbare open source componenten zijn aangetroffen in applicaties die worden gebruikt binnen de verticale markt internet en software. 67% van de applicaties die in deze vertical worden gebruikt blijkt een kwetsbaarheid met hoog risico te bevatten. Opvallen dis ook dat de cybersecurity industrie het slecht doet. 41% van de apps die in deze sector wordt gebruikt bevat een open source beveiligingsprobleem.

Helft van de kwetsbaarheden levert groot risico op

Van de apps die tenminste één open source beveiligingsprobleem bevat blijkt het in 54% van de gevallen te gaan om een probleem dat een groot risico oplevert. Apps die open source kwetsbaarheden bevatten blijken in 17% van de gevallen een beveiligingsprobleem te bevatten dat uitgebreid is gedocumenteerd, zoals de kwetsbaarheden Freak, Heartbleed en Poodle. Zo wijst Black Duck Software erop dat 33% van de onderzochte applicaties die Apache Struts bevat de kwetsbaarheid te bevatten die eerder heeft geleid tot het omvangrijke en geruchtmakende datalek bij Equifax. Gemiddeld zijn aangetroffen open source kwetsbaarheden zes jaar geleden voor het eerst publiekelijk beschreven.

Meer informatie is beschikbaar in het 2018 Open Source Security and Risk Analysis rapport, dat hier gratis kan worden aangevraagd.