Så mycket som 70 procent av webbapplikationer som används idag har minst en säkerhetsbrist som kan kopplas till en öppen källkod.
Det visar en ny rapport från Veracode, världens största oberoende leverantör av AST-lösningar (Application Security Testing).
Nästan alla moderna webbapplikationer har byggts med hjälp av någon form av open source code (öppen källkod). Att använda sig av öppna källkoder kan emellertid vara riskfyllt. En liten bugg i ett programbibliotek kan leda till att samtliga applikationer som använder den koden äventyras, visar den nya it-säkerhetsrapporten State of Software Security: Open Source Edition.
Bakom rapporten står Veracode, den oberoende och världsledande AppSec-partnern som nu tar klivet in på den svenska marknaden. I arbetet med Open Source Edition har Veracode analyserat 85 000 applikationer och drygt 350 000 programbibliotek, varav 70 procent hade någon form av säkerhetsbrist. Undersökningen visar att nästan hälften av dem (47%) uppkommer indirekt genom andra programmerare som använder samma öppna källkod. Som tur är kan majoriteten (75%) av de här säkerhetsbristerna korrigeras med hjälp av en enklare versionsuppdatering.
– Programvara med öppen källkod innehåller överraskande många säkerhetsbrister. Och en applikationens attackyta är dessvärre inte begränsad till enbart den egna koden eftersom de öppna källkoderna lever sina egna liv, säger Julian Totzek-Hallhuber, Principal Solutions på Veracode.
Undersökningen visar också att så kallad cross-site scripting (XSS) är den vanligaste sårbarhetskategorin. Veracode upptäckte XSS i närmare en tredjedel (30%) av programbiblioteken med öppen källkod. Näst vanligast är osäker deserialisering (23,5%) följt av broken access control (20,3%).
– Programvara med öppen källkod innebär stora fördelar för företag. Det betyder dock inte att saker kommer gratis, utan koden måste hanteras för att egna bidrag ska undvikas, säger Julian Totzek-Hallhuber på Veracode.
