Veel applicaties bevatten verouderde open source componenten

Synopsys heeft het 2020 Open Source Security and Risk Analysis (OSSRA) -rapport uitgebracht. Het rapport, opgesteld door het Synopsys Cybersecurity Research Center (CyRC), onderzoekt de resultaten van meer dan 1.250 audits van commerciële codebases, uitgevoerd door het Black Duck Audit Services-team. Het rapport belicht trends en patronen in open source-gebruik binnen commerciële applicaties en biedt inzichten en aanbevelingen om organisaties te helpen open source-risico's beter te beheren vanuit een veiligheids-, licentie-compliance- en operationeel perspectief.

Het OSSRA-rapport van 2020 bevestigt opnieuw de cruciale rol die open source speelt in het huidige software-ecosysteem, en onthult dat alle (99%) van de codebases die het afgelopen jaar zijn gecontroleerd, ten minste één open source-component bevatten, waarbij open source 70% van de code omvat algemeen. Opvallend is het aanhoudende wijdverbreide gebruik van verouderde of verlaten open source-componenten: 91% van de codebases bevat componenten die ofwel meer dan vier jaar verouderd waren of de afgelopen twee jaar geen ontwikkelingsactiviteit hadden gekend.

De meest zorgwekkende trend in de analyse van dit jaar is het toenemende beveiligingsrisico van onbeheerde open source: 75% van de gecontroleerde codebases bevat open source-componenten met bekende beveiligingsproblemen, tegenover 60% het jaar ervoor. Evenzo bevatte bijna de helft (49%) van de codebases kwetsbaarheden met een hoog risico , vergeleken met 40% slechts 12 maanden eerder.

"Het is moeilijk om de cruciale rol die open source speelt bij de ontwikkeling en implementatie van moderne software te negeren, maar het is gemakkelijk om over het hoofd te zien hoe dit uw applicatie-risicopositie beïnvloedt vanuit het oogpunt van beveiliging en licentienaleving", zegt Tim Mackey , hoofdbeveiligingsstrateeg van de Synopsys Cybersecurity Research Center. "Het OSSRA-rapport van 2020 laat zien hoe organisaties blijven worstelen om hun open source-risico effectief te volgen en te beheren. Het bijhouden van een nauwkeurige inventaris van softwarecomponenten van derden, inclusief open source-afhankelijkheden, en het up-to-date houden is een belangrijk startpunt om aan te pakken toepassingsrisico op meerdere niveaus. "

Een samenvatting van de meest opvallende open source risicotrends die in het OSSRA-rapport van 2020 zijn geïdentificeerd, volgt:

Open source-adoptie blijft stijgen. Negenennegentig procent van de codebases bevat ten minste enige open source, met een gemiddelde van 445 open source-componenten per codebase - een aanzienlijke stijging ten opzichte van 298 in 2018. Zeventig procent van de gecontroleerde code werd geïdentificeerd als open source, een cijfer dat steeg van 60 % in 2018 en is bijna verdubbeld sinds 2015 (36%).

Verouderde en "verlaten" open source-componenten zijn alomtegenwoordig.  Eenennegentig procent van de codebases bevatte componenten die ofwel meer dan vier jaar verouderd waren of de afgelopen twee jaar geen ontwikkelingsactiviteit hadden. Afgezien van de grotere kans dat er beveiligingslekken bestaan, bestaat het risico van het gebruik van verouderde open source-componenten dat het bijwerken ervan ook ongewenste functionaliteits- of compatibiliteitsproblemen kan veroorzaken.

Het gebruik van kwetsbare open source componenten is weer in opkomst.  In 2019 steeg het percentage codebases met kwetsbare open source-componenten tot 75% na een daling van 78% naar 60% tussen 2017 en 2018. Evenzo steeg het percentage codebases met kwetsbaarheden met een hoog risico tot 40% in 2019 van 40% in 2019. in 2018. Gelukkig werd geen van de in 2019 gecontroleerde codebases getroffen door de beruchte Heartbleed-bug of de Apache Struts-kwetsbaarheid die Equifax in 2017 achtervolgde.

Conflicten met open source-licenties blijven het intellectuele eigendom in gevaar brengen.  Ondanks dat het bekend staat als "gratis", verschilt open source-software niet van andere software doordat het gebruik ervan onder een licentie valt. Achtenzestig procent van de codebases bevatte een vorm van open source licentieconflicten en 33% bevatte open source-componenten zonder identificeerbare licentie. De prevalentie van licentieconflicten varieerde aanzienlijk per bedrijfstak, variërend van een hoogtepunt van 93% (internet en mobiele apps) tot een relatief laag niveau van 59% (Virtual Reality, Gaming, Entertainment, Media).