Verouderde code-onderdelen in codebases, ook wel ‘zombie-code’ genoemd, kunnen leiden tot niet-gepatchte kwetsbaarheden die lang niet worden verholpen. Dit concludeert Synopsys in een recent onderzoek.
In hun Open Source Security and Risk Analysis-onderzoek constateren de onderzoekers van Synopsys dat zogeheten ‘zombie-code’ een steeds groter probleem vormt voor de security van codebases. Doordat veel van deze verouderde code nog aanwezig blijft, lopen zij het gevaar dat niet-gepatchte kwetsbaarheden op langere termijn aanwezig blijven terwijl deze al lang hadden moeten zijn opgelost.
Meeste codebases bevatten zombie-code
Concreet troffen de onderzoekers in 91 procent van de onderzochte codebases zombie-code aan. Het ging hierbij om componenten die minstens tien versies van deze code oud waren.
Daarnaast werd in bijna de helft van de codebases code-onderdelen aangetroffen die in de laatste twee jaar niet waren bijgewerkt. Ook was de leeftijd van aangetroffen open-source-kwetsbaarheden in de onderzochte codebases gemiddeld 2,5 jaar oud. Een kwart van de codebases had een kwetsbaarheid die meer dan 10 jaar oud was.
Van de tien aangetroffen kwetsbaarheden in de codebases zij er verder acht toe te wijzen aan een enkel kwetsbaarheidstype: Improper Neutralization.
Security in 2023 verslechterd
De onderzoekers stellen dat in 2023 de security van codebases verder is verslechterd. In het afgelopen jaar had 74 procent van alle codebases een high-risk kwetsbaarheid. In 2022 was dit nog 48 procent.
Een belangrijke reden voor deze toename van het percentage aan high-risk kwetsbaarheden is volgens de onderzoekers van Synopsys onder meer de vele ontslagen onder techmedewerkers en dan vooral ontwikkelaars die deze specifieke codeproblemen kunnen oplossen.
Slecht opensourcelicentiebeleid
Een ander gesignaleerd probleem dat mogelijk de kwetsbaarheden door zombie-code veroorzaakt, is dat bedrijven vaak worstelen met open-source-licenties en de compliance daarover. Ongeveer 53 procent van de onderzochte codebases zou problemen hebben met open-source-licenties en 31 procent heeft helemaal geen licentie of custom-licentie.
21 uur geleden
