Почти три четверти всех коммерческих кодовых баз содержат программное обеспечение с открытым исходным кодом и уязвимостями высокого риска. Это согласно новому отчету Synopsys, поставщика кибербезопасности, который обнаружил, что 96 процентов проверенных кодовых баз, охватывающих 17 отраслей, содержат программное обеспечение с открытым исходным кодом.
Между тем, согласно девятому изданию ежегодного отчета «Безопасность и анализ рисков с открытым исходным кодом» компании Synopsys, 84% кодовых баз компаний содержали по крайней мере одну уязвимость в используемом программном обеспечении с открытым исходным кодом, а 74% содержали уязвимости высокого риска.
В отчете, основанном на 1097 аудитах коммерческих кодовых баз, проведенных в 2023 году, отмечается резкое увеличение количества организаций, использующих программное обеспечение с открытым исходным кодом, содержащее уязвимости высокого риска, по сравнению с 2022 годом, когда аудиты обнаружили 48 процентов кодовых баз с уязвимостями высокого риска.
Причина огромного скачка числа уязвимостей высокого риска, вероятно, связана с несколькими факторами, включая увольнения сотрудников службы ИБ во время недавнего экономического спада, говорится в отчете. Девяносто один процент проверенных кодовых баз содержал компоненты с открытым исходным кодом, версии которых отставали от самой последней доступной версии на 10 релизов или более.
Кроме того, 49% кодовых баз содержали компоненты, разработки которых не проводились в течение предыдущих двух лет.
В отчете указывается на необходимость обновлять программное обеспечение и компоненты с открытым исходным кодом, сказал Майк Макгуайр, старший менеджер по программным решениям Synopsys Software Integrity Group.
«Именно неисправленные уязвимости привели к наиболее серьезным утечкам данных», — сказал он. «Компании обязаны устранять уязвимости, особенно если они являются поставщиками коммерческого программного обеспечения или обрабатывают конфиденциальную информацию».
Сторонники программного обеспечения с открытым исходным кодом уже давно утверждают, что пристальное внимание к коду приводит к меньшему количеству ошибок и уязвимостей, и отчет не опровергает это утверждение, сказал Макгуайр.
«Во всяком случае, отчет подтверждает это мнение», — сказал он. «Тот факт, что существует так много раскрытых уязвимостей и CVE, служит свидетельством того, насколько активным и бдительным является сообщество открытого исходного кода, особенно когда дело доходит до решения проблем безопасности. Именно это сообщество занимается обнаружением уязвимостей, раскрытием информации и исправлением ошибок».
Однако пользователи программного обеспечения с открытым исходным кодом не очень хорошо справляются с внедрением исправлений, предлагаемых сообществом открытого исходного кода, сказал он. Основная цель отчета — повысить осведомленность и помочь пользователям программного снизить риски, сказал он.
«Мы бы никогда не рекомендовали какому-либо производителю программного обеспечения избегать использования открытого исходного кода или ограничивать его использование», — добавил он. «На самом деле мы утверждаем обратное, поскольку преимущества открытого исходного кода намного перевешивают риски».
По его словам, программное обеспечение с открытым исходным кодом ускорило цифровую трансформацию и позволило компаниям разрабатывать инновационные приложения, которые нужны потребителям. «Любой разработчик программного обеспечения, не использующий открытый исходный код, обязательно останется позади своей отрасли и конкурентов».
В отчете обнаружено 8 из 10 основных уязвимостей открытого программного обеспечения, связанных с неправильной нейтрализацией, что занимает 707-е место в списке Common Weakness Enumeration (CWE) слабых мест программного и аппаратного обеспечения, поддерживаемом MITRE. CWE-707 включает требования безопасности, которые не выполняются до того, как данные будут прочитаны из восходящего компонента или отправлены в нижестоящий компонент. Неспособность нейтрализовать входные данные может привести к таким эксплойтам, как межсайтовый скриптинг и SQL-инъекции.
Кроме того, аудит, проведенный для отчета Synopsys, показал, что 53% кодовых баз содержат конфликты лицензирования программного обеспечения с открытым исходным кодом, что потенциально может привести к проблемам с авторским правом и лицензированием. Открытый исходный код нельзя просто скопировать по своему желанию. Он налагает определенные обязательства, например, разрешать его распространение на тех же условиях.
Лицензия MIT была обнаружена в 92 процентах кодовых баз, а лицензия Apache 2.0 — в 89 процентах. Обе лицензии считаются относительно разрешительными лицензиями, налагающими на пользователей наименьшее количество ограничений. В ходе аудита 2023 года было установлено, что лицензии Creative Commons являются наиболее распространенной причиной конфликтов лицензий. Creative Commons ShareAlike 3.0 оказался причиной 17 процентов выявленных лицензионных конфликтов.
Растущая тенденция использования инструментов генерации кода при помощи искусственного интеллекта, некоторые из которых, возможно, были обучены работе с программным обеспечением с открытым исходным кодом, также может подвергнуть предприятия лицензионному риску. В отчете предупреждается, что такие инструменты могут создавать код, потенциально нарушающий лицензию и интеллектуальную собственность.
«Любой разработчик программного обеспечения, не использующий открытый исходный код, обязательно останется позади своей отрасли и конкурентов». Полностью согласен. А уязвимостей открытого кода не надо бояться. Из надо контролировать и вовремя нейтрализовывать.