Firma Osterman Research opublikowała wyniki przeglądu wykorzystania otwartych komponentów z niezałatanymi lukami w zastrzeżonym oprogramowaniu niestandardowym (COTS). W badaniu zbadano pięć kategorii aplikacji – przeglądarki internetowe, programy pocztowe, programy do udostępniania plików, komunikatory internetowe i platformy spotkań online.
Wyniki były katastrofalne – we wszystkich badanych aplikacjach ujawniono wykorzystanie oprogramowania typu open source z niezałatanymi lukami, a w 85% aplikacji luki były krytyczne. Większość problemów wykryto w aplikacjach do spotkań online i klientach poczty e-mail.
Jeśli chodzi o oprogramowanie typu open source, 30% wszystkich wykrytych komponentów typu open source miało co najmniej jedną znaną, ale niezałataną lukę w zabezpieczeniach. Większość zidentyfikowanych problemów (75.8%) była związana z używaniem przestarzałych wersji silnika Firefox. Na drugim miejscu znajduje się openssl (9.6%), a na trzecim libav (8.3%).
W raporcie nie podano szczegółowo liczby zbadanych wniosków ani produktów, które zostały zbadane. W tekście znajduje się jednak wzmianka, że we wszystkich wnioskach z wyjątkiem trzech zidentyfikowano problemy krytyczne, czyli wnioski wyciągnięto na podstawie analizy 20 wniosków, których nie można uznać za próbę reprezentatywną. Przypomnijmy, że w podobnym badaniu przeprowadzonym w czerwcu stwierdzono, że 79% bibliotek zewnętrznych wbudowanych w kod nigdy nie jest aktualizowanych, a nieaktualny kod biblioteczny powoduje problemy z bezpieczeństwem.
Źródło: opennet.ru