Osterman Research hat die Ergebnisse eines Tests zum Einsatz von Open-Source-Komponenten mit ungepatchten Schwachstellen in proprietärer maßgeschneiderter Software (COTS) veröffentlicht. Die Studie untersuchte fünf Kategorien von Anwendungen – Webbrowser, E-Mail-Clients, Filesharing-Programme, Instant Messenger und Plattformen für Online-Meetings.
Die Ergebnisse waren katastrophal: Bei allen untersuchten Anwendungen wurde festgestellt, dass sie Open-Source-Code mit ungepatchten Schwachstellen verwendeten, und bei 85 % der Anwendungen waren die Schwachstellen kritisch. Die meisten Probleme traten bei Anwendungen für Online-Meetings und E-Mail-Clients auf.
Im Hinblick auf Open Source wiesen 30 % aller entdeckten Open Source-Komponenten mindestens eine bekannte, aber nicht behobene Schwachstelle auf. Die meisten der identifizierten Probleme (75.8 %) standen im Zusammenhang mit der Verwendung veralteter Versionen der Firefox-Engine. An zweiter Stelle steht openssl (9.6 %) und an dritter Stelle libav (8.3 %).
In dem Bericht wird nicht detailliert beschrieben, wie viele Anträge geprüft wurden oder welche konkreten Produkte geprüft wurden. Allerdings wird im Text erwähnt, dass bei allen Anträgen bis auf drei kritische Probleme festgestellt wurden, d. h. die Schlussfolgerungen wurden auf der Grundlage einer Analyse von 20 Anträgen gezogen, die nicht als repräsentative Stichprobe angesehen werden können. Erinnern wir uns daran, dass in einer ähnlichen Studie, die im Juni durchgeführt wurde, zu dem Schluss kam, dass 79 % der in Code integrierten Bibliotheken von Drittanbietern nie aktualisiert werden und veralteter Bibliothekscode Sicherheitsprobleme verursacht.
Source: opennet.ru