Synopsys bedrijf 1253 commerciële codebases en concludeerde dat bijna alle (99%) van de beoordeelde commerciële applicaties ten minste één open source-component bevatten, en dat 70% van de code in de beoordeelde repositories open source was. Ter vergelijking: in een soortgelijk onderzoek uit 2015 bedroeg het aandeel open source 36%.
In de meeste gevallen is de gebruikte open source-code van derden echter niet bijgewerkt en bevat deze potentiële beveiligingsproblemen - 91% van de beoordeelde codebases bevat open componenten die al meer dan vijf jaar niet zijn bijgewerkt of al een tijdje in een verlaten vorm verkeren. minimaal twee jaar en worden niet onderhouden door ontwikkelaars. Als gevolg hiervan bevat 5% van de open source-code die in repository's wordt geïdentificeerd, niet-gepatchte bekende kwetsbaarheden, waarvan de helft een hoog risico kent. In de steekproef van 75 bedroeg het aandeel code met kwetsbaarheden 2018%.
De meest voorkomende gevaarlijke kwetsbaarheid was
проблема (uitvoering van code op afstand) in de bibliotheek voor Node.js, waarvan kwetsbare versies meer dan 500 keer zijn aangetroffen. De oudste nog niet gepatchte kwetsbaarheid was een probleem in de lpd-daemon (), herzien in 1999.
Naast de veiligheid in de codebases van commerciële projecten, is er ook een nalatige houding ten opzichte van de naleving van de voorwaarden van vrije licenties.
In 73% van de codebases werden problemen aangetroffen met de legaliteit van het gebruik van open source, bijvoorbeeld incompatibele licenties (meestal wordt GPL-code opgenomen in commerciële producten zonder een afgeleid product te openen) of het gebruik van code zonder een licentie te specificeren. 93% van alle licentieproblemen doen zich voor in web- en mobiele applicaties. Bij games, virtual reality-systemen, multimedia- en entertainmentprogramma’s werden in 59% van de gevallen overtredingen opgemerkt.
In totaal identificeerde het onderzoek 124 typische open componenten die vaak in alle codebases worden gebruikt. De meest populaire zijn: jQuery (55%), Bootstrap (40%), Font Awesome (31%), Lodash (30%) en jQuery UI (29%). In termen van programmeertalen zijn de meest populaire JavaScript (gebruikt in 74% van de projecten), C++ (57%), Shell (54%), C (50%), Python (46%), Java (40%), TypeScript (36%), C# (36%); Perl (30%) en Robijn (25%). Het totale aandeel programmeertalen is:
JavaScript (51%), C++ (10%), Java (7%), Python (7%), Ruby (5%), Go (4%), C (4%), PHP (4%), TypeScript ( 4%), C# (3%), Perl (2%) en Shell (1%).
Bron: opennet.ru