Una nuova ricerca RiskSense ha rivelato che il numero di buchi di sicurezza nel software open source è più che raddoppiato nell'ultimo anno. Per compilare il suo nuovo rapporto, "The Dark Reality of Open Source", l'azienda ha utilizzato i dati di 54 progetti open source dal 2015 ai primi tre mesi del 2020 per scoprire un totale di 2,694 vulnerabilità ed esposizioni comuni. (CVE)) Il rapporto RiskSense ha rilevato che il numero totale di vulnerabilità nel software open source ha raggiunto 968 lo scorso anno, con un aumento di oltre il 50% rispetto alle 421 CVE rilevate nel 2018. In un comunicato stampa, il CEO di RiskSense Srinivas Mukkamala ha fornito ulteriori informazioni sui risultati del rapporto. , affermando: "Mentre il codice open source è spesso considerato più sicuro del software commerciale perché sottoposto a test partecipativi per individuare i problemi, questo studio mostra che le vulnerabilità OSS sono in aumento e possono essere un punto cieco per molte organizzazioni. Poiché l'open source viene utilizzato e riutilizzato ovunque oggi, quando le vulnerabilità vengono scoperte, possono avere conseguenze di vasta portata."
Vulnerabilità del software open source
Lo studio RiskSense ha anche rivelato quanto tempo è necessario per aggiungere le vulnerabilità open source al National Vulnerability Database (NVD). In media, ci vogliono 54 giorni dalla divulgazione pubblica di una vulnerabilità affinché venga elencata nella NVD. Questo ritardo ha gravi conseguenze per le aziende perché possono rimanere esposte a gravi rischi per la sicurezza delle applicazioni per quasi due mesi. Questi ritardi sono stati riscontrati anche per tutti i livelli di gravità, comprese le vulnerabilità ritenute critiche e quelle che sono state attivamente sfruttate in natura. Tra i progetti open source analizzati nel rapporto, Jenkins Automation Server ha ottenuto i CVE più alti con 646, seguito da vicino da MySQL con 624. Questi due progetti erano anche collegati dalle vulnerabilità più militarizzate con 15 ciascuno. Per quanto riguarda l’utilizzo come arma, i punti deboli nel cross-site scripting (XSS) e nella convalida dell’input sono stati tra i tipi di vulnerabilità più comuni e sfruttati come armi nello studio RiskSense. I problemi XSS sono stati il secondo tipo di vulnerabilità più comune, ma sono stati quelli più pesantemente utilizzati come arma, mentre i problemi di convalida dell’input sono stati il terzo più comune e il secondo più pesantemente utilizzato come arma. Ci sono molti vantaggi nell’usare software open source, anche se il rapporto RiskSense mostra che la gestione delle vulnerabilità nelle librerie può porre sfide uniche per aziende e sviluppatori.