Black Duck: opensource is overal – en gevaarlijk
Er is nauwelijks nog software zonder opensource-componenten. Dat is een van de kernresultaten van de Open Source Security and Risk Analysis (OSSRA) 2017. Black Duck Software, specialist in opensource-audits, onderzocht daarvoor meer dan 1000 commerciële applicaties. Gemiddeld kwam ongeveer een derde van de code uit opensource-projecten. jQuery, Bootstrap, JUnit, ApacheLog4j en software uit het Apache Common-project werden het vaakst gebruikt.
Twee derde van deze programma's gebruikt echter opensource-componenten in versies met bekende veiligheidslekken, deels met een hoog risico. Uitgerekend op de gebieden handel en e-commerce, internet en software-infrastructuur, en bij financiële dienstverleners en fintechs kwam Black Duck de meeste software met gevaarlijke lekken tegen.
Veel van die lekken zijn allang bekend. Zelfs de drie jaar geleden verholpen OpenSSL-bug Heartbleed zat nog in 1,5 procent van de onderzochte applicaties. Het grootste risico kwam van de opensource-componenten Apache Commons FileUpload, Apache Commons Collections, Apache Tomcat, het Spring Framework en OpenSSL.
Bovendien komen er vaak licentieproblemen voor bij het gebruik van opensource-software. Volgens Black Duck gebruikt meer dan 85 procent van de programma's opensource zonder zich volledig aan de licentiebepalingen te houden. In ongeveer de helft van de onderzochte software werd externe code gevonden waarvan de licentie zelfs helemaal niet bekend is. (hhe)