Den utbredte bruken av åpen kildekode-programvare (OSS) innen moderne applikasjonsutvikling utgjør en "betydelig sikkerhetsrisiko", antyder ny forskning.
Ifølge en ny rapport fra cybersikkerhetsselskapet Snyk, sammen med Linux (åpnes i ny fane) Grunnlaget er dagens organisasjoner underforberedt til å takle disse risikoene.
Basert på en undersøkelse av mer enn 550 respondenter, samt data hentet fra 1.3 milliarder åpen kildekode-prosjekter via Snyk Open Source, slår rapporten fast at to av fem (41 %) firmaer ikke er trygge på sikkerheten til åpen kildekode.
Sårbarheter i åpen kildekode
Det ble funnet at det gjennomsnittlige applikasjonsutviklingsprosjektet har 49 sårbarheter, samt 80 direkte avhengigheter. Vanligvis tar det nå 110 dager å utbedre en sårbarhet i et åpen kildekodeprosjekt, opp fra 49 dager for fire år siden.
«Programvareutviklere har i dag sine egne forsyningskjeder – i stedet for å sette sammen bildeler, setter de sammen kode ved å lappe sammen eksisterende åpen kildekode-komponenter med deres unike kode. Selv om dette fører til økt produktivitet og innovasjon, har det også skapt betydelige sikkerhetsproblemer, sier Matt Jarvis, direktør for utviklerrelasjoner, Snyk.
Jarvis la til at det er en viss "naivitet" til industriens tilnærming til åpen kildekode-programvare, som kan åpne døren for all slags skadelig programvare, løsepengeprogramvare og andre angrep.
For eksempel har mindre enn halvparten (49%) en sikkerhetspolicy for OSS-utvikling eller bruk, og faller ned til 27% blant mellomstore og store bedrifter. Videre er mindre enn en tredjedel (30%) av organisasjoner uten en åpen kildekode-sikkerhetspolicy klar over det faktum at for øyeblikket er det ingen som tar for seg sikkerheten til åpen kildekode-programvare.
Men noen respondenter er klar over sikkerhetsutfordringene med åpen kildekode-programvare i forsyningskjeden. En fjerdedel sa at de var bekymret for sikkerhetspåvirkningen av deres avhengigheter på OSS, og bare 18 % sa at de var trygge på kontrollene de har satt opp for sine transitive avhengigheter, der 40 % av alle sårbarheter ble funnet.