Synopsys Unternehmen 1253 kommerzielle Codebasen und kamen zu dem Schluss, dass fast alle (99 %) der überprüften kommerziellen Anwendungen mindestens eine Open-Source-Komponente enthielten und 70 % des Codes in den überprüften Repositories Open Source waren. Zum Vergleich: In einer ähnlichen Studie aus dem Jahr 2015 lag der Anteil von Open Source bei 36 %.
In den meisten Fällen ist der verwendete Open-Source-Code von Drittanbietern jedoch nicht aktualisiert und weist potenzielle Sicherheitsprobleme auf – 91 % der überprüften Codebasen enthalten offene Komponenten, die seit mehr als 5 Jahren nicht aktualisiert wurden oder sich in einer aufgegebenen Form befanden mindestens zwei Jahre und werden nicht von Entwicklern gepflegt. Infolgedessen enthalten 75 % des in Repositories identifizierten Open-Source-Codes ungepatchte bekannte Schwachstellen, von denen die Hälfte ein hohes Gefahrenniveau aufweist. In der Stichprobe 2018 lag der Anteil des Codes mit Schwachstellen bei 60 %.
Die häufigste gefährliche Sicherheitslücke war
Problem (Remote-Code-Ausführung) in der Bibliothek für Node.js, dessen anfällige Versionen mehr als 500 Mal gefunden wurden. Die älteste ungepatchte Schwachstelle war ein Problem im lpd-Daemon (), überarbeitet im Jahr 1999.
Neben der Sicherheit in den Codebasen kommerzieller Projekte gibt es auch eine fahrlässige Haltung gegenüber der Einhaltung der Bedingungen freier Lizenzen.
In 73 % der Codebasen wurden Probleme mit der Rechtmäßigkeit der Verwendung von Open Source festgestellt, beispielsweise inkompatible Lizenzen (normalerweise ist GPL-Code in kommerziellen Produkten enthalten, ohne dass ein abgeleitetes Produkt geöffnet werden muss) oder die Verwendung von Code ohne Angabe einer Lizenz. 93 % aller Lizenzprobleme treten bei Web- und Mobilanwendungen auf. Bei Spielen, Virtual-Reality-Systemen, Multimedia- und Unterhaltungsprogrammen wurden Verstöße in 59 % der Fälle festgestellt.
Insgesamt identifizierte die Studie 124 typische offene Komponenten, die in allen Codebasen häufig verwendet werden. Die beliebtesten sind: jQuery (55 %), Bootstrap (40 %), Font Awesome (31 %), Lodash (30 %) und jQuery UI (29 %). Unter den Programmiersprachen sind JavaScript (wird in 74 % der Projekte verwendet), C++ (57 %), Shell (54 %), C (50 %), Python (46 %), Java (40 %) am beliebtesten. TypeScript (36 %), C# (36 %); Perl (30 %) und Ruby (25 %). Der Gesamtanteil der Programmiersprachen beträgt:
JavaScript (51 %), C++ (10 %), Java (7 %), Python (7 %), Ruby (5 %), Go (4 %), C (4 %), PHP (4 %), TypeScript ( 4 %), C# (3 %), Perl (2 %) und Shell (1 %).
Source: opennet.ru