Osterman Research publicou os resultados dunha proba sobre o uso de compoñentes de código aberto con vulnerabilidades sen parches en software privativo personalizado (COTS). O estudo examinou cinco categorías de aplicacións: navegadores web, clientes de correo electrónico, programas para compartir ficheiros, mensaxería instantánea e plataformas para reunións en liña.
Os resultados foron desastrosos: descubriuse que todas as aplicacións estudadas usaban código de fonte aberta con vulnerabilidades sen parches, e no 85% das aplicacións as vulnerabilidades eran críticas. A maioría dos problemas atopáronse nas aplicacións para reunións en liña e clientes de correo electrónico.
En termos de código aberto, o 30% de todos os compoñentes de código aberto descubertos tiñan polo menos unha vulnerabilidade coñecida pero sen parchear. A maioría dos problemas identificados (75.8%) foron asociados co uso de versións obsoletas do motor Firefox. En segundo lugar sitúase openssl (9.6%), e en terceiro lugar está libav (8.3%).
O informe non detalla o número de solicitudes examinadas nin que produtos concretos foron examinados. Non obstante, menciónase no texto que se identificaron problemas críticos en todas as aplicacións excepto en tres, é dicir, as conclusións foron feitas a partir dunha análise de 20 solicitudes, que non poden considerarse unha mostra representativa. Lembremos que nun estudo similar realizado en xuño, chegouse á conclusión de que o 79% das bibliotecas de terceiros integradas no código nunca se actualizan e o código de biblioteca desactualizado provoca problemas de seguridade.
Fonte: opennet.ru