Black Duck Software maakt auditing-software voor open source-beveiliging en volgens diens jongste risico-analyserapport zijn bedrijven erg slecht in het patchen van open source-software. Het bedrijf vond open source-componenten in 96 procent van de vorig jaar gescande bedrijfsapplicaties, met een gemiddelde van 257 open source code-elementen in elke applicatie.

Open source groeit flink

Het gemiddelde open source-aandeel in de codebase steeg vorig jaar verder van 36 naar 57 procent, een behoorlijke toename in een jaar tijd. Veel applicaties bevatten nu meer open source dan propriëtaire code. Het nadeel is dat 78 procent van de onderzochte code ten minste één kwetsbaarheid bevatte en er was een gemiddelde van 64 bekende exploits per codebase.

In Internet of Things is 77 procent van de code open source, en de audit vond gemiddeld 677 kwetsbaarheden per applicaties. Er werden meer dan 4800 gaten in open source-software gemeld in 2017, maar dat is over het hele spectrum van open source applicaties, library's en besturingssystemen.

Patching laat te wensen over

De schrijvers van het rapport merken een belangrijk verschil op tussen hoe patches worden behandeld binnen commerciële producten en open source software. In de eerste worden updates gepusht naar gebruikers. Bij open source is dat vaak niet het geval en dienen gebruikers handmatig te zoeken naar updates, of een updateprogramma in te zetten om te zoeken naar patches.

Omdat er zoveel belangrijke open source-producten in bedrijf zijn, denk aan ontwikkeltools, kan het een uitdaging zijn om alles wat je gebruikt in de gaten te houden. "Open source wordt toegevoegd aan codebases op verschillende manieren", staat te lezen in het rapport. "Niet alleen via third party leveranciers en externe developers, maar ook via interne ontwikkelaars."

"Als een organisatie zich niet bewust is van alle open source dat wordt gebruikt, kan het zich niet goed beveiligen tegen aanvallen op bekende kwetsbaarheden in die componenten."

Zo vond de software bijvoorbeeld open source webtoolkit Bootstrap terug in 40 procent van de onderzochte applicaties, gevolgd door jQuery in 36. Ook Lodash, een JavaScript-library, werd bveel gebruikt. "Lodash is het meestgebruikte open source-component in applicaties voor zorg, IoT, internet, marketing, e-commerce en telecom", zo schrijven de auteurs.

Gaten gedicht

Betekent dit dat jouw open source-applicaties bezaaid zijn met kwetsbaarheden? Als je patches goed bijhoudt waarschijnlijk niet. Het probleem dat dit rapport constateert is niet dat er geen patches zijn, maar dat ze niet worden toegepast in bedrijven en dat dit jaren zo doorgaat. Volgens Black Duck is de gemiddelde kwetsbaarheid zes jaar oud. Vier procent van de codebase bevatte nog steeds het high-profile Heartbleed-gat, dat vier jaar geleden volop in het nieuws was.

Black Duck verdient natuurlijk aan het verkopen van auditing-software, dus het is wat dat betreft geen verrassing dat het aan de bel trekt over kwetsbaarheden. Maar dat neemt niet weg dat er een duidelijk probleem wordt geconstateerd: niemand zou een applicatie zes jaar ongepatcht moeten kunnen laten in een zakelijke omgeving.

Iedereen moet wel kijken

Deze houding komt wellicht van het idee dat open source-software een eenmalige tijdsinvestering is: zet het in en vergeet het dan. Er was ook lange tijd een idee dat open source-code inherent veiliger is dan propriëtair, omdat iedereen er naar kan kijken. Maar Heartbleed bewees dat mensen dat dan ook wel moeten doen, want bedrijven hadden massaal code ingezet waar maar weinigen de moeite voor had genomen om deze grondig door te nemen om de twee jaar eerder verschenen bug te ontdekken.