Black Duck Software maakt auditing-software voor open source-beveiliging en volgens diens jongste risico-analyserapport zijn bedrijven erg slecht in het patchen van open source-software. Het bedrijf vond open source-componenten in 96 procent van de vorig jaar gescande bedrijfsapplicaties, met een gemiddelde van 257 open source code-elementen in elke applicatie.

Open source groeit flink

Het gemiddelde open source-aandeel in de codebase steeg vorig jaar verder van 36 naar 57 procent, een behoorlijke toename in een jaar tijd. Veel applicaties bevatten nu meer open source dan propriëtaire code. Het nadeel is dat 78 procent van de onderzochte code ten minste één kwetsbaarheid bevatte en er was een gemiddelde van 64 bekende exploits per codebase.

In Internet of Things is 77 procent van de code open source, en de audit vond gemiddeld 677 kwetsbaarheden per applicaties. Er werden meer dan 4800 gaten in open source-software gemeld in 2017, maar dat is over het hele spectrum van open source applicaties, library's en besturingssystemen.

Patching laat te wensen over

De schrijvers van het rapport merken een belangrijk verschil op tussen hoe patches worden behandeld binnen commerciële producten en open source software. In de eerste worden updates gepusht naar gebruikers. Bij open source is dat vaak niet het geval en dienen gebruikers handmatig te zoeken naar updates, of een updateprogramma in te zetten om te zoeken naar patches.

Omdat er zoveel belangrijke open source-producten in bedrijf zijn, denk aan ontwikkeltools, kan het een uitdaging zijn om alles wat je gebruikt in de gaten te houden. "Open source wordt toegevoegd aan codebases op verschillende manieren", staat te lezen in het rapport. "Niet alleen via third party leveranciers en externe developers, maar ook via interne ontwikkelaars."

"Als een organisatie zich niet bewust is van alle open source dat wordt gebruikt, kan het zich niet goed beveiligen tegen aanvallen op bekende kwetsbaarheden in die componenten."