A Synopsys, empresa de design de software e silício, relatou que quase todas (99%) as bases de código auditadas continham pelo menos um componente de código aberto. A má notícia é que 91% das bases de código estavam desatualizadas há mais de quatro anos ou não haviam visto nenhuma atividade de desenvolvimento nos últimos dois anos. Dessa maneira, software de código aberto desatualizado e inseguro continua em toda parte.
Software de código aberto desatualizado e inseguro está em toda parte
O relatório é baseado nos resultados de mais de 1.250 auditorias comerciais. Ainda mais preocupante é que 75% das bases de código auditadas contêm componentes de código aberto com vulnerabilidades de segurança conhecidas. Isso superou os 60% em 2019. Quase metade (49%) das bases de código continham vulnerabilidades de alto risco. Isso superou os 40% do ano passado.
Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center, disse:
É difícil descartar o papel vital que o código aberto desempenha no desenvolvimento e implantação modernos de software, mas é fácil ignorar como isso afeta a postura de risco de aplicativos de uma perspectiva de segurança e conformidade de licenças. O relatório […] destaca como as organizações continuam lutando para rastrear e gerenciar efetivamente seu risco de código aberto. Manter um inventário preciso de componentes de software de terceiros, incluindo dependências de código aberto, e mantê-lo atualizado é um ponto de partida importante para abordar o risco […] em vários níveis.
Além das preocupações com segurança, outra preocupação é que 68% das bases de código continham alguns conflitos de licença de código aberto. Pior ainda, 33% continham código-fonte aberto sem licença identificável. Embora comparativamente invisível em comparação com brechas de segurança, possíveis conflitos de propriedade intelectual também podem pôr em risco sua empresa.
Fonte: ZDNET