Een groot deel van de gebruikte open source-componenten in software heeft geruime tijd geen updates meer ontvangen, wat de gedateerde software onveilig maakt. Dat concludeert Synopsys in een onderzoek.
Volgens het bedrijf werd in 99 procent van de onderzochte audits open source-componenten gebruikt, waarvan ruim 91 procent in de afgelopen twee jaar geen wijzigingen meer waren doorgevoerd. Daarnaast bevatte driekwart van de open source-onderdelen bekende kwetsbaarheden, wat een stijging van ruim 60 procent was ten opzichte van een jaar eerder. Kritieke kwetsbaarheden in dergelijke componenten waren ook vaker terug te vinden dan in 2019, met een stijging van zo’n veertig procent. Volgens Synopsys is het daarom belangrijk om te benadrukken dat het gebruiken van dergelijke onderdelen in software niet moet worden onderschat.
“Het is lastig om de vitale rol van open source in moderne software aan de kant te schuiven, maar heel makkelijk om te vergeten hoe groot de impact op de beveiliging kan zijn. Het gedetailleerd in kaart brengen van welke third-party software en welke open source-benodigdheden worden gebruik én zorgen dat deze up to date blijven, is een beginpunt voor het verbeteren van de beveiliging op verschillende niveaus”, aldus Synopsys.
Niet alleen beveiligingsrisico’s vormen volgens Synopsys een probleem als gebruik wordt gemaakt van gedateerde open source-componenten. Ook werden er in de onderzochte audits geregeld componenten gevonden waarbij niet duidelijk was waar de licentie precies lag. In een derde van de gevallen (ruim 400 audits) kon er niet worden geïdentificeerd welke partij de uiteindelijke rechthebbende was. Voor bedrijven zou dat aanzienlijke gevolgen kunnen hebben mocht er een partij naar voren stappen en de rechten op een component claimen.
57 minuten geleden
