Den utbredda användningen av programvara med öppen källkod (OSS) inom modern applikationsutveckling utgör en "betydande säkerhetsrisk", tyder ny forskning på.
Enligt en ny rapport från cybersäkerhetsföretaget Snyk, tillsammans med Linux (öppnas i ny flik) Foundation är dagens organisationer underberedda att hantera dessa risker.
Baserat på en undersökning av mer än 550 respondenter, samt data hämtade från 1.3 miljarder open source-projekt via Snyk Open Source, konstaterar rapporten att två av fem (41%) företag inte är säkra på säkerheten för sin öppna källkod.
Sårbarheter i öppen källkod
Det visade sig att det genomsnittliga applikationsutvecklingsprojektet har 49 sårbarheter, såväl som 80 direkta beroenden. Vanligtvis tar det nu 110 dagar att åtgärda en sårbarhet i ett projekt med öppen källkod, upp från 49 dagar för fyra år sedan.
”Mjukvaruutvecklare har idag sina egna leveranskedjor – istället för att sätta ihop bildelar, sätter de ihop kod genom att patcha ihop befintliga komponenter med öppen källkod med sin unika kod. Även om detta leder till ökad produktivitet och innovation, har det också skapat betydande säkerhetsproblem”, säger Matt Jarvis, Director, Developer Relations, Snyk.
Jarvis tillade att det finns en viss "naivitet" i branschens förhållningssätt till programvara med öppen källkod, vilket kan öppna dörren för alla slags skadlig programvara, ransomware och andra attacker.
Till exempel har mindre än hälften (49 %) en säkerhetspolicy för OSS-utveckling eller användning, och sjunker till 27 % bland medelstora och stora företag. Dessutom är mindre än en tredjedel (30 %) av organisationer utan en säkerhetspolicy med öppen källkod medvetna om det faktum att för närvarande är det ingen som tar upp säkerheten för programvara med öppen källkod.
Men en del svarande är medvetna om säkerhetsutmaningarna från programvara med öppen källkod i försörjningskedjan. En fjärdedel sa att de var oroliga över säkerhetseffekterna av deras beroenden på OSS, och endast 18 % sa att de var säkra på kontrollerna de har satt upp för sina transitiva beroenden, där 40 % av alla sårbarheter hittades.