Osterman Research heeft de resultaten gepubliceerd van een test naar het gebruik van open source-componenten met niet-gepatchte kwetsbaarheden in propriëtaire maatwerksoftware (COTS). In het onderzoek werden vijf categorieën toepassingen onderzocht: webbrowsers, e-mailclients, programma's voor het delen van bestanden, instant messengers en platforms voor online vergaderingen.
De resultaten waren desastreus: alle onderzochte applicaties bleken open source-code te gebruiken met niet-gepatchte kwetsbaarheden, en in 85% van de applicaties waren de kwetsbaarheden kritiek. De meeste problemen werden gevonden bij toepassingen voor online vergaderingen en e-mailclients.
Op het gebied van open source had 30% van alle ontdekte open source-componenten minstens één bekende maar niet-gepatchte kwetsbaarheid. De meeste van de geïdentificeerde problemen (75.8%) hielden verband met het gebruik van verouderde versies van de Firefox-engine. Op de tweede plaats staat openssl (9.6%), en op de derde plaats staat libav (8.3%).
Het rapport geeft geen details over het aantal onderzochte aanvragen en welke specifieke producten zijn onderzocht. In de tekst wordt echter vermeld dat er bij alle aanvragen kritieke problemen zijn vastgesteld, op drie na. Dat wil zeggen dat de conclusies zijn getrokken op basis van een analyse van twintig aanvragen, die niet als een representatieve steekproef kunnen worden beschouwd. Laten we niet vergeten dat uit een soortgelijk onderzoek dat in juni werd uitgevoerd, werd geconcludeerd dat 20% van de in code ingebouwde bibliotheken van derden nooit worden bijgewerkt en dat verouderde bibliotheekcode beveiligingsproblemen veroorzaakt.
Bron: opennet.ru