Verweesde open source code in negen van de tien projecten

91 procent van de commerciële code bases bevat open source componenten die al ruim twee jaar niet zijn onderhouden; kwetsbaarheden zijn ook wijdverbreid. Dit is het beeld dat wordt geschetst door 1.500 audits die zijn verwerkt in de “Open Source Security and Risk Analysis” van Synopsys.

Ieder jaar analyseert het Cybersecurity Research Center (CyRC) van Synopsys de auditrapporten die door het “Black Duck Audit Services”-team worden geproduceerd en verwerkt de resultaten in het “Open Source Security and Risk Analysis”-rapport (OSSRA). Het rapport werpt dus licht op het gebruik en de invloed van open source-componenten binnen commerciële toepassingen.

Volgens het rapport is open source-code terug te vinden in de meerderheid van toepassingen in alle sectoren. Op het gebied van marketingtechnologie kan geen van de gecontroleerde bedrijven het stellen zonder openbronsoftware; in 95% van de gevallen werden kwetsbaarheden aangetroffen. Open broncode verrijkt ook de gezondheidszorg (98 procent van de codebases) en de financiële sector (97 procent), maar helaas ook met kwetsbaarheden (respectievelijk 67 en 60 procent).

Volgens Synopsys is het wijdverbreide gebruik van verweesde open broncomponenten bijzonder verontrustend. 91 procent van alle codebases bevatte open source afhankelijkheden die in de voorgaande twee jaar niet verder waren ontwikkeld. De code werd in deze periode dan ook niet verbeterd en er werden ook geen beveiligingspatches beschikbaar gesteld.

Dit is niet verwonderlijk, merkt Tim Mackey, Principal Security Strategist bij Synopsys CyRC op, het welzijn van open source hangt immers af van de inzet van de gemeenschap: “Als er een gebrek is aan de juiste inzet van de gemeenschap, kan dat de levensvatbaarheid van het hele project aantasten.” Met het oog op de bijbehorende veiligheidsproblemen moeten bedrijven de projecten die cruciaal zijn voor hun succes financieel en met personeel ondersteunen.

Old dependencies and license violations

Maar gebrek aan onderhoud gaat ook de andere kant op: in 85 procent van alle codebases werden open source dependencies aangetroffen die al meer dan vier jaar verouderd zijn, hoewel de respectievelijke ontwikkelaarsgemeenschappen nog steeds actief zijn. Naast de beveiligingsproblemen als gevolg van ontbrekende patches, accepteren bedrijven en ontwikkelaars nog een ander risico, zegt Synopsys, “namelijk ongewenste functionaliteit en compatibiliteitsproblemen die kunnen optreden bij toekomstige updates.”

Een ander probleem waar aanbieders van analyses van softwaresamenstellingen regelmatig op wijzen, zijn schendingen van de voorwaarden van gratis licenties. Bij de meest recente audits heeft Synopsys in negen van de tien code bases overeenkomstige tekortkomingen aangetroffen, variërend van licentieconflicten tot onjuiste en aangepaste tot volledig ontbrekende licentieverwijzingen.

Licentieconflicten doen zich meestal voor in verband met de GNU GPL (General Public License). Een groot deel van de codebases gebruikt open source-componenten zonder enige licentie of met een aangepaste licentie. Bedrijven moeten daarom een nauwkeurig overzicht hebben van welke afhankelijkheden zij gebruiken en onder welke voorwaarden. Bedrijven moeten ook in staat zijn om juridische bezwaren en inbreuken op intellectuele-eigendomsrechten te beoordelen in de aanloop naar fusies en overnametransacties.

Voor meer informatie kunnen belangstellenden het 2021 OSSRA-rapport en de Synopsys-blog lezen.