A Osterman Research publicou os resultados de um teste de uso de componentes de código aberto com vulnerabilidades não corrigidas em software proprietário personalizado (COTS). O estudo examinou cinco categorias de aplicativos – navegadores web, clientes de e-mail, programas de compartilhamento de arquivos, mensageiros instantâneos e plataformas para reuniões online.
Os resultados foram desastrosos - descobriu-se que todos os aplicativos estudados usavam código-fonte aberto com vulnerabilidades não corrigidas e em 85% dos aplicativos as vulnerabilidades eram críticas. A maioria dos problemas foram encontrados em aplicativos para reuniões online e clientes de e-mail.
Em termos de código aberto, 30% de todos os componentes de código aberto descobertos tinham pelo menos uma vulnerabilidade conhecida, mas não corrigida. A maioria dos problemas identificados (75.8%) estava associada à utilização de versões desatualizadas do motor Firefox. Em segundo lugar está o openssl (9.6%) e em terceiro lugar está o libav (8.3%).
O relatório não especifica o número de pedidos examinados ou quais produtos específicos foram examinados. No entanto, há uma menção no texto de que foram identificados problemas críticos em todas as candidaturas, exceto três, ou seja, as conclusões foram tiradas com base numa análise de 20 candidaturas, o que não pode ser considerado uma amostra representativa. Recordemos que num estudo semelhante realizado em junho, concluiu-se que 79% das bibliotecas de terceiros incorporadas no código nunca são atualizadas e o código da biblioteca desatualizado causa problemas de segurança.
Fonte: opennet.ru