Synopsys Társaság 1253 kereskedelmi kódbázist, és arra a következtetésre jutottak, hogy a felülvizsgált kereskedelmi alkalmazások szinte mindegyike (99%) tartalmazott legalább egy nyílt forráskódú összetevőt, és a vizsgált tárolókban lévő kódok 70%-a nyílt forráskódú. Összehasonlításképpen egy 2015-ös hasonló tanulmányban a nyílt forráskód aránya 36% volt.
A legtöbb esetben azonban a használt harmadik féltől származó nyílt forráskód nem frissül, és potenciális biztonsági problémákat tartalmaz – az áttekintett kódbázisok 91%-a rendelkezik olyan nyitott összetevőkkel, amelyeket több mint 5 éve nem frissítettek, vagy elhagyott formában voltak. legalább két évig, és nem a fejlesztők tartják karban. Ennek eredményeként a tárolókban azonosított nyílt forráskódú kódok 75%-a javítatlan ismert sebezhetőséget tartalmaz, amelyek fele magas szintű veszélyt rejt magában. A 2018-as mintában a sebezhető kódok aránya 60% volt.
A leggyakoribb veszélyes sebezhetőség az volt
probléma (távoli kódvégrehajtás) a könyvtárban a Node.js esetében, amelynek sebezhető verziói több mint 500 alkalommal találkoztak. A legrégebbi javítatlan biztonsági rés az lpd démon (), 1999-ben felülvizsgálták.
A kereskedelmi projektek kódbázisában a biztonság mellett hanyag hozzáállás tapasztalható az ingyenes licencek feltételeinek betartásához is.
A kódbázisok 73%-ánál a nyílt forráskód használatának jogszerűségével kapcsolatos problémákat találtak, például nem kompatibilis licenceket (általában a GPL kódot melléktermék megnyitása nélkül tartalmazzák a kereskedelmi termékek) vagy a licenc megadása nélküli kódhasználatot. A licencproblémák 93%-a webes és mobilalkalmazásokban jelentkezik. A játékokban, a virtuális valóság rendszerekben, a multimédiás és szórakoztató programokban az esetek 59%-ában észleltek jogsértést.
A tanulmány összesen 124 tipikus nyitott komponenst azonosított, amelyeket általában minden kódbázisban használnak. A legnépszerűbbek a következők: jQuery (55%), Bootstrap (40%), Font Awesome (31%), Lodash (30%) és jQuery UI (29%). A programozási nyelvek közül a legnépszerűbbek a JavaScript (a projektek 74%-ában használják), a C++ (57%), a Shell (54%), a C (50%), a Python (46%), a Java (40%), TypeScript (36%), C# (36%); Perl (30%) és Ruby (25%). A programozási nyelvek teljes részesedése:
JavaScript (51%), C++ (10%), Java (7%), Python (7%), Ruby (5%), Go (4%), C (4%), PHP (4%), TypeScript ( 4%), C# (3%), Perl (2%) és Shell (1%).
Forrás: opennet.ru