Fant minst én open source-sårbarhet i 84 prosent av all kode: - Bekymrende

- Selv om åpen kildekode i seg selv ikke er noen risiko, så er det en risiko å ikke administrere den riktig.

Selv om åpen kildekode ikke er en risiko i seg selv, er det en risiko å ikke administrere den riktig, mener Synopsis. 📸: Sigmund / Unsplash
Selv om åpen kildekode ikke er en risiko i seg selv, er det en risiko å ikke administrere den riktig, mener Synopsis. 📸: Sigmund / Unsplash Vis mer

Nesten all programvare inneholder åpen kildekode, og hele 84 prosent av den åpne kildekoden som brukes inneholder en eller annen form for sårbarhet, skriver Dark Reading.

Tallene er hentet fra rapporten Open Source Security and Risk Analysis som utgis hvert år av Synopsys' Cybersecurity Research Center.

Ofte alvorlige sårbarheter

Rapporten er basert på analyse av mer enn 1700 kodebaser. I årets rapport fant man ut at:

  • Hele 96 prosent av kodebasene inneholdt en eller annen programvarekomponent som var åpen kildekode
  • Den gjennomsnittlige kodebasen besto av 76 prosent åpen kildekode
  • Gjennomsnittlig antall åpen kildekode-komponenter i en gitt applikasjon var 595.
Det meste av programvare inneholder en eller annen form for åpen kildekode. JQuery og Lodash er de komponentene med sårbarheter som brukes mest. 📸: Synopsis
Det meste av programvare inneholder en eller annen form for åpen kildekode. JQuery og Lodash er de komponentene med sårbarheter som brukes mest. 📸: Synopsis Vis mer

I 48 prosent av tilfellene dreide det seg om alvorlige sårbarheter.

Dette er sårbarheter som blir aktivt utnyttet, som allerede har dokumenterte proof-of-concept-"exploits", eller som er klassifisert som remote code execution-sårbarheter.

Åpen kildekode i nesten alt

Synopsis skriver i rapporten at mange bedrifter sliter med å holde alle avhengighetene i applikasjonene oppdatert, og at det kan være vanskelig å finne alle sårbarheter i kodebaser som har veldig mange avhengigheter.

– Open source var i nesten alt vi undersøkte i år. Det utgjorde majoriteten av kodebasene på tvers av bransjer, og det inneholdt et bekymringsfullt høyt antall kjente sårbarheter som bedrifter ikke har patchet, skriver Synopsys i rapporten.

«Selv om åpen kildekode i seg selv ikke er noen risiko, så er det en risiko å ikke administrere den riktig.»

Nesten én av åtte applikasjoner hadde mer enn ti forskjellige versjoner av en spesifikk åpen kildekode-kodebase.

Om det er en risiko å ha mange avhengigheter eller ikke, er usikkert. For eksempel viste en annen rapport at JavaScript-applikasjoner som gjerne har flere avhengigheter enn applikasjoner skrevet i andre språk, ofte har færre sårbarheter enn Java- og .NET-applikasjoner.

– Det er avgjørende å forstå at selv om åpen kildekode i seg selv ikke er noen risiko, så er det en risiko å ikke administrere den riktig, skriver Synopsis.