Secondo una nuova ricerca, l'uso diffuso del software open source (OSS) nello sviluppo di applicazioni moderne pone un "rischio significativo per la sicurezza".
Secondo un nuovo rapporto della società di sicurezza informatica Snyk, in collaborazione con la Linux Foundation (si apre in una nuova scheda), le organizzazioni di oggi sono mal preparate a questi rischi.
Sulla base di un sondaggio di oltre 550 intervistati, nonché dei dati tratti da 1300 miliardi di progetti open source tramite Snyk Open Source, il rapporto rileva che due aziende su cinque (41%) non si fidano della sicurezza del proprio codice open source.
Vulnerabilità nel codice open source
È stato riscontrato che il progetto medio di sviluppo di applicazioni presenta 49 vulnerabilità, insieme a 80 dipendenze dirette. Ora in genere sono necessari 110 giorni per correggere una vulnerabilità in un progetto open source, rispetto ai 49 giorni di quattro anni fa.
“Gli sviluppatori di software di oggi hanno le proprie catene di approvvigionamento: invece di assemblare parti di automobili, assemblano il codice combinando componenti open source esistenti con il loro codice univoco. Sebbene ciò porti a una maggiore produttività e innovazione, crea anche notevoli problemi di sicurezza", ha affermato Matt Jarvis. , Direttore delle relazioni con gli sviluppatori, Snyk.
Jarvis ha aggiunto che c'è una certa "ingenuità" nell'approccio del settore al software open source, che potrebbe aprire la porta a tutti i tipi di malware, ransomware e altri attacchi.
Ad esempio, meno della metà (49%) ha una politica di sicurezza per sviluppare o utilizzare OSS e tale percentuale scende al 27% tra le aziende di medie e grandi dimensioni. Inoltre, meno di un terzo (30%) delle organizzazioni senza una politica di sicurezza open source è consapevole del fatto che attualmente nessuno si occupa di sicurezza del software open source.
Ma alcuni intervistati sono consapevoli delle sfide alla sicurezza che il software open source pone nella catena di approvvigionamento. Un quarto afferma di essere preoccupato per l'impatto sulla sicurezza delle proprie dipendenze OSS e solo il 18% afferma di essere fiducioso nei controlli in atto per le proprie dipendenze transitive, dove è stato rilevato il 40% di tutte le vulnerabilità.
