Podle jejího zjištění byla alespoň jedna známá zranitelnost open source v 84 % všech komerčních a proprietárních kódových bází (kompletní část zdrojového kódu, který zahrnuje všechny zdrojové soubory potřebné ke kompilaci softwaru), které prozkoumali.
Ověřujete si nezávadnost open source kódu ve svých aplikacích?
Ještě horším závěrem je to, že 48 % všech těchto code bases obsahovalo vysoce rizikové zranitelnosti, na něž už existují exploity (dají se tedy snadno zneužít), nebo jsou klasifikované jako chyby využívající vzdálené spuštění kódu.
Zpráva firmy Synopsys je postavená na hloubkové analýze kódových bází u firem, které právě realizují nějakou fúzi nebo akvizici, a to ohledně využívání open source komponent (Synopsys dělá audity kódu s cílem identifikovat softwarová rizika pro společnosti zapojené do fúzí a akvizic).
Celkem se průzkum týkal auditu 1 481 kódových bází z hlediska zranitelností a dodržování licencí open source v loňském roce.
V odvětví letectví, automobilového průmyslu, dopravy či logistiky tyto báze obsahovaly open source ze 73 %, přičemž 63 % veškerého kódu v tomto odvětví obsahovalo zranitelnosti klasifikované jako vysoce rizikové, tedy ty se skóre závažnosti CVSS v hodnotě 7 nebo vyšší.
V oblasti energetiky a technologií tvořil open source dokonce 78 % celkového kódu a 69 % bází obsahovalo zranitelnosti s vysokým rizikem. Ostatní sektory si vedly jen o něco lépe.
Podíl open source na aplikacích přitom soustavně roste – v posledních pěti letech se podle Synopsysu zvýšil jeho podíl ve všech sledovaných vertikálách, nejvíce v sektoru vzdělávání. Znepokojující je i nárůst kritických zranitelnosti oblasti internetu věcí.
Ze zmíněných 1 481 bází jich 91 procent obsahovalo zastaralé komponenty open source – na chyby tedy už existovaly opravy, ale ty nikdo neaplikoval.
Aby se firmy vyhnuly zneužití zranitelností a udržovaly open source kód aktualizovaný, měly by podle výzkumníků používat SBOM (software bill of materials).
Ten obsahuje seznam všech open source komponent v aplikacích a také licence, verze a stav oprav. To organizacím umožní rychle identifikovat rizikové komponenty a zjednat nápravu.
Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.