75% от търговските приложения включват остарял код с отворен код с уязвимости

Компания Synopsys анализирани 1253 търговски кодови бази и стигна до заключението, че почти всички (99%) от прегледаните търговски приложения включват поне един компонент с отворен код, а 70% от кода в прегледаните хранилища е с отворен код. За сравнение, в подобно проучване през 2015 г. делът на отворения код е 36%.

В повечето случаи обаче използваният отворен код на трета страна не се актуализира и съдържа потенциални проблеми със сигурността - 91% от прегледаните кодови бази имат отворени компоненти, които не са актуализирани повече от 5 години или са били в изоставена форма за поне две години и не се поддържат от разработчици. В резултат на това 75% от кода с отворен код, идентифициран в хранилища, съдържа неотстранени известни уязвимости, половината от които са с високо ниво на опасност. В извадката от 2018 г. делът на кода с уязвимости е 60%.

Най-честата опасна уязвимост беше
проблем CVE-2018 16487- (отдалечено изпълнение на код) в библиотеката лодаш за Node.js, чиито уязвими версии са били срещани повече от 500 пъти. Най-старата непоправена уязвимост беше проблем в демона lpd (CVE-1999 0061-), ревизиран през 1999 г.

В допълнение към сигурността в кодовите бази на комерсиалните проекти има и небрежно отношение към спазването на условията на безплатните лицензи.
В 73% от кодовите бази са открити проблеми със законността на използването на отворен код, например несъвместими лицензи (обикновено GPL кодът е включен в търговски продукти без отваряне на производен продукт) или използване на код без посочване на лиценз. 93% от всички проблеми с лиценза възникват в уеб и мобилни приложения. При игрите, системите за виртуална реалност, мултимедийните и развлекателните програми са забелязани нарушения в 59% от случаите.

Общо проучването идентифицира 124 типични отворени компонента, които обикновено се използват във всички кодови бази. Най-популярните са: jQuery (55%), Bootstrap (40%), Font Awesome (31%), Lodash (30%) и jQuery UI (29%). По отношение на езиците за програмиране най-популярни са JavaScript (използван в 74% от проектите), C++ (57%), Shell (54%), C (50%), Python (46%), Java (40%), TypeScript (36%), C# (36%); Perl (30%) и Ruby (25%). Общият дял на езиците за програмиране е:
JavaScript (51%), C++ (10%), Java (7%), Python (7%), Ruby (5%), Go (4%), C (4%), PHP (4%), TypeScript ( 4%), C# (3%), Perl (2%) и Shell (1%).

Източник: opennet.ru