シノプシス社 1253 の商用コードベースを調査し、レビューされた商用アプリケーションのほぼすべて (99%) に少なくとも 70 つのオープンソース コンポーネントが含まれており、レビューされたリポジトリ内のコードの 2015% がオープンソースであると結論付けました。 比較のために、36 年の同様の調査では、オープンソースのシェアは XNUMX% でした。
ただし、ほとんどの場合、使用されているサードパーティのオープン ソース コードは更新されておらず、潜在的なセキュリティ問題が含まれています。レビューされたコードベースの 91% には、5 年以上更新されていないか、放棄された形で放置されているオープン コンポーネントが含まれています。少なくとも 75 年間は保存されており、開発者によって保守されていません。 その結果、リポジトリで特定されたオープンソース コードの 2018% にはパッチが適用されていない既知の脆弱性が含まれており、そのうちの半分には高レベルの危険性があります。 60 年のサンプルでは、脆弱性のあるコードの割合は XNUMX% でした。
最も一般的な危険な脆弱性は次のとおりです。
問題 (リモートコード実行) ライブラリ内 Node.js の場合、脆弱なバージョンが 500 回以上検出されました。 パッチが適用されていない最も古い脆弱性は、lpd デーモンの問題でした ()、1999年に改訂されました。
商用プロジェクトのコードベースのセキュリティに加えて、無料ライセンスの条件への準拠に対する怠慢な態度もあります。
コードベースの 73% では、互換性のないライセンス (通常、GPL コードは派生製品を開くことなく商用製品に含まれます) やライセンスを指定せずにコードを使用するなど、オープン ソースの使用の合法性に問題が見つかりました。 すべてのライセンス問題の 93% は、Web アプリケーションとモバイル アプリケーションで発生しています。 ゲーム、仮想現実システム、マルチメディア、エンターテインメント プログラムでは、59% のケースで違反が発見されました。
この調査では、すべてのコード ベースで一般的に使用される、合計 124 個の典型的なオープン コンポーネントが特定されました。 最も人気のあるものは、jQuery (55%)、Bootstrap (40%)、Font Awesome (31%)、Lodash (30%)、および jQuery UI (29%) です。 プログラミング言語に関しては、最も人気のあるのは JavaScript (プロジェクトの 74% で使用)、C++ (57%)、Shell (54%)、C (50%)、Python (46%)、Java (40%)、 TypeScript (36%)、C# (36%); Perl (30%) と Ruby (25%)。 プログラミング言語の合計シェアは次のとおりです。
JavaScript (51%)、C++ (10%)、Java (7%)、Python (7%)、Ruby (5%)、Go (4%)、C (4%)、PHP (4%)、TypeScript ( 4%)、C# (3%)、Perl (2%)、シェル (1%)。
出所: オープンネット.ru