Osterman Research a publié les résultats d'un test d'utilisation de composants open source présentant des vulnérabilités non corrigées dans des logiciels propriétaires sur mesure (COTS). L'étude a examiné cinq catégories d'applications : les navigateurs Web, les clients de messagerie, les programmes de partage de fichiers, les messageries instantanées et les plateformes de réunions en ligne.
Les résultats ont été désastreux : toutes les applications étudiées utilisaient du code open source avec des vulnérabilités non corrigées, et dans 85 % des applications, les vulnérabilités étaient critiques. La plupart des problèmes ont été rencontrés dans les applications de réunions en ligne et les clients de messagerie.
En termes d'open source, 30 % de tous les composants open source découverts présentaient au moins une vulnérabilité connue mais non corrigée. La plupart des problèmes identifiés (75.8 %) étaient liés à l'utilisation de versions obsolètes du moteur Firefox. En deuxième position se trouve openssl (9.6 %) et en troisième place se trouve libav (8.3 %).
Le rapport ne détaille pas le nombre de demandes examinées ni quels produits spécifiques ont été examinés. Cependant, il est mentionné dans le texte que des problèmes critiques ont été identifiés dans toutes les candidatures sauf trois, c'est-à-dire que les conclusions ont été tirées sur la base d'une analyse de 20 candidatures, qui ne peuvent pas être considérées comme un échantillon représentatif. Rappelons que dans une étude similaire menée en juin, il a été conclu que 79 % des bibliothèques tierces intégrées au code ne sont jamais mises à jour et qu'un code de bibliothèque obsolète pose des problèmes de sécurité.
Source: opennet.ru