Vulnerabilidades de software de código aberto aumentaram 50% em 2019

Vulnerabilidades de software de código aberto aumentaram 50% em 2019

A popularidade dos componentes de código aberto aumentou ao longo dos anos, com mais pessoas desviando sua atenção para o software feito a partir deste código aberto. No entanto, o uso de software de código aberto também envolve riscos. Um relatório publicado pela WhiteSource, uma plataforma de gerenciamento de segurança de código aberto, diz que as vulnerabilidades no software de código aberto aumentaram quase 50% em 2019.

O relatório reuniu dados do National Vulnerability Database (NVD), vários avisos de segurança, bancos de dados de vulnerabilidades revisados por pares e rastreadores populares de problemas de código aberto.

Vulnerabilidades de software de código aberto aumentaram 50% em 2019

Vulnerabilidades de software de código aberto aumentaram 50% em 2019

O número de vulnerabilidades de código aberto relatadas atingiu uma contagem recorde de 6.000 em 2019. Além disso, apenas 84% ??das vulnerabilidades conhecidas em código aberto aparecem no NVD e o restante passa despercebido ou é publicado em outros portais que muitos não são. estou ciente de.

Vulnerabilidades de software de código aberto aumentaram 50% em 2019
Fonte: WhiteSource

Os pesquisadores descobriram que as vulnerabilidades são frequentemente relatadas em centenas de plataformas mal indexadas. Isso dificulta que os usuários pesquisem e confirmem a existência de uma vulnerabilidade no software de código aberto.

No entanto, toda nuvem tem um lado positivo, assim como o ecossistema de código aberto. O relatório também menciona que mais de 85% das vulnerabilidades de código aberto são divulgadas com uma correção já disponível.

Vulnerabilidades de código aberto: previsões para 2020

 

O relatório menciona que o número de falhas de código aberto continuará aumentando, graças ao aumento contínuo do uso de código aberto e da pesquisa de segurança no domínio.

Felizmente, a comunidade de código aberto também está testemunhando um aumento nas iniciativas que abordam os sistemas de segurança. Por exemplo, o Github Security Lab é uma plataforma que permite que desenvolvedores e mantenedores de software de código aberto relatem vulnerabilidades sistematicamente sem expor uma vulnerabilidade de dia zero para hackers.

Provavelmente, veremos um crescimento nessas ferramentas em 2020, devido ao aumento da adoção de software de código aberto e ao número de agências trabalhando para relatar vulnerabilidades no ecossistema de código aberto.

Linguagem de programação C lidera falhas

Nem sempre a melhor linguagem de programação é a mais segura. Embora seja esta uma das buscas mais incessantes dos programadores. Porém, a segurança está diretamente relacionada à vulnerabilidade do código escrito em uma linguagem específica. Assim, o mesmo relatório “O estado das vulnerabilidades de segurança de código aberto 2020”, publicado pela WhiteSource, revela que a linguagem de programação C responde pela maior porcentagem de todas as vulnerabilidades, com mais de 77% nos últimos 10 anos.

Vulnerabilidades de código aberto em idiomas de codificação

O relatório de pesquisa da WhiteSource é baseado nos dados coletados de várias fontes, como NVD, avisos de segurança e rastreadores de problemas de código aberto populares. Os dados rastreiam os erros relatados pelas sete principais linguagens de codificação entre 2009 e 19.

Vulnerabilidades de código aberto por idioma

Sendo uma das mais antigas, C e PHP constituem coletivamente mais de 63% de todas as vulnerabilidades, com a maior contribuição de 47% apenas pela C. Isso pode ser devido ao alto volume de código escrito nessas linguagens. No entanto, esse percentual também está diminuindo à medida que os desenvolvedores estão mudando para outras populares como Go e Python.

Além disso, linguagens de script como Javascript e Python possuem um código comparativamente menos vulnerável. Portanto, o Python, que já é uma das linguagens de codificação mais amadas, agora pode ser a melhor escolha não apenas para iniciantes, mas também para codificadores profissionais.

O que torna o código vulnerável?

De acordo com o relatório, o CWE mais comum é o XSS (Cross-Site-Scripting), vazamento/divulgação de informações e validação de entrada. O CWE mais comum ocorre devido a erros de código simples e codificação imprecisa pelos desenvolvedores.

No entanto, as comunidades de código aberto também estão implementando vários métodos para rastrear e relatar esses problemas, como o laboratório de segurança GitHub e ferramentas de detecção automatizada. Mas é altamente recomendável que mesmo os profissionais verifiquem constantemente o risco básico de segurança na base de código.

Fossbytes

Acesse a versão completa
Sair da versão mobile