Osterman Research ha pubblicato i risultati di un test sull'uso di componenti open source con vulnerabilità senza patch in software proprietario personalizzato (COTS). Lo studio ha esaminato cinque categorie di applicazioni: browser web, client di posta elettronica, programmi di condivisione di file, messaggistica istantanea e piattaforme per riunioni online.
I risultati sono stati disastrosi: è stato scoperto che tutte le applicazioni studiate utilizzavano codice open source con vulnerabilità senza patch e nell'85% delle applicazioni le vulnerabilità erano critiche. La maggior parte dei problemi sono stati riscontrati nelle applicazioni per riunioni online e client di posta elettronica.
In termini di open source, il 30% di tutti i componenti open source scoperti presentava almeno una vulnerabilità nota ma senza patch. La maggior parte dei problemi identificati (75.8%) erano associati all'utilizzo di versioni obsolete del motore Firefox. Al secondo posto si trova openssl (9.6%) e al terzo posto c'è libav (8.3%).
Il rapporto non fornisce dettagli sul numero di domande esaminate o su quali prodotti specifici siano stati esaminati. Tuttavia, nel testo si menziona che sono stati individuati problemi critici in tutte le domande tranne tre, ovvero le conclusioni sono state tratte sulla base di un'analisi di 20 domande, che non possono essere considerate un campione rappresentativo. Ricordiamo che in uno studio simile condotto a giugno si è concluso che il 79% delle librerie di terze parti integrate nel codice non vengono mai aggiornate e il codice della libreria obsoleto causa problemi di sicurezza.
Fonte: opennet.ru