‘Kwetsbaarheden open-source software komen laat aan het licht’

Abonneer je gratis op Techzine!

De veiligheid van open-source software en -initiatieven laat nog veel te wensen over, concludeert GitHub in een onderzoek. Gemiddeld duurt het vier jaar tot kwetsbaarheden in open-source software worden ontdekt.

IT-oplossingen zijn tegenwoordig steeds meer afhankelijk van open-sourceprojecten, softwarecomponenten en libraries stelt GitHub in zijn Octverse-rapport. Alleen al dit jaar, 2020, gebruikten 56 miljoen ontwikkelaars de open-sourceverzameling van GitHub, werden er meer dan 60 miljoen nieuwe repositories opgezet en werden er meer dan 1,9 miljard bijdragen aan het platform toegevoegd.

Volgens GitHub is het bijna niet meer mogelijk om IT-oplossingen en -toepassingen te ontwikkelen, zonder daar open-source elementen aan toe te voegen. Open-source vormt daarnaast steeds meer een onderdeel van kritische infrastructuur.

Late ontdekking van kwetsbaarheden

Je zou verwachten dat deze toegenomen afhankelijkheid van open-source er ook voor zou zorgen dat open-source voldoende beveiligd is en kwetsbaarheden op tijd worden ontdekt. En juist daar wringt een beetje de schoen, zo concluderen de onderzoekers.

Het duurt gemiddeld vier jaar voordat bepaalde kwetsbaarheden in open-source software en toepassingen worden ontdekt. Na de ontdekking van de kwetsbaarheid duurt het gemiddeld 4,4 weken voordat de community een fix van de geïdentificeerde kwetsbaarheid heeft gecodeerd en uitgebracht. Daarna duurt het gemiddeld 10 weken om de open-source community op de hoogte te stellen dat er een security-update voor de gevonden kwetsbaarheid is uitgebracht. Ten slotte duurt het gemiddeld één week voordat iedere gebruiker de security update heeft geïmplementeerd.

Weinig kwaadaardige exploits

Gelukkig voor de ontwikkelaars is een aangetroffen kwetsbaarheid in open-source niet vaak een kwaadaardige exploit. In 2020 was 17 procent van het totaal aantal aangetroffen kwetsbaarheden een kwaadaardige exploit. Deze 17 procent triggerden slechts 0,2 procent van het totaal aantal alerts. De overige 83 procent van aangetroffen kwetsbaarheden waren softwarefouten.

Meer aandacht nodig

De onderzoekers van GitHub geven aan dat ontwikkelaars kritischer moeten zijn als het om security van open-source gaat. Zeker nu open-source bij het ontwikkelen van software een belangrijkere plaats inneemt. Ontwikkelaars, beheerders en gebruikers van open-source moeten daarom alerter zijn op kwetsbaarheden. Ze moeten op reguliere basis hun dependencies op kwetsbaarheden checken en automatische alerts instellen om beveiligingsproblemen efficiënter en sneller op te lossen.

Tip: Software testen: niemand twijfelt aan nut, toch gebeurt het te weinig