2024 Open Source Security and Risk Analysis Report
A Synopsys új tanulmánya szerint a kereskedelmi kódbázisok háromnegyede (74%) tartalmaz olyan nyílt forráskódú komponenseket, amelyek magas kockázatú sebezhetőségeket tartalmaznak.
A chiptervezési eszközöket gyártó vállalat kilencedik éves Open Source Security and Risk Analysis (OSSRA) jelentése 17 iparág több mint 1000 kereskedelmi kódbázisának anonimizált ellenőrzéséből származó megállapításokat elemzett. A jelentés szerint a magas kockázatú nyílt forráskódú hibák – azaz az aktívan kihasznált, dokumentált proof-of-concept exploitokkal rendelkező vagy távoli kódfuttatásnak minősülő hibák – aránya a 48%-ra nőtt az előző évhez képest.
A jelentés szerint a számítógépes hardver- és félvezetőiparban volt a legmagasabb a magas kockázatú nyílt forráskódú sebezhetőségeket tartalmazó kódbázisok aránya (88%), ezt követte a gyártás, ipar és robotika (87%) és a big data, AI, BI és gépi tanulás (66%).
Az eredmények annak ellenére születtek, hogy a nyílt forráskódú sebezhetőségek aránya a kereskedelmi kódokban gyakorlatilag változatlanul 84%-os maradt a vizsgált időszakban. A Synopsys feltételezése szerint a magas kockázatú hibák számának növekedése a technológiai iparágban történt elbocsátásoknak és/vagy a közelmúltbeli makrogazdasági bizonytalanságnak tudható be, ami korlátozhatja a gyártók javításra rendelkezésre álló erőforrásait.
A jelentésből kiderült, hogy a leggyakrabban regisztrált nyílt forráskódú sebezhetőségek többsége (80%) a helytelen semlegesítési gyengeségek (CWE-707) kategóriájába tartozik – ez a sebezhetőségi típus a cross-site scripting különböző formáit foglalja magában.
A kutatás arra is rámutatott, hogy számos szervezetben nagy mennyiségű “zombi kód” található. A kódbázisok mintegy 91%-a tartalmazott olyan komponenseket, amelyek 10 vagy több verzióval elavultabbak voltak, míg a felfedezett nyílt forráskódú sebezhetőségek átlagos életkora több mint 2,5 év volt. A kódbázisok közel negyede tartalmazott több mint 10 éves sérülékenységeket.
Az eredmények azért fontosak, mert egyre több szervezetet veszélyeztetnek az ilyen sebezhetőségek.