Snyk, actief in developer security, en The Linux Foundation, een wereldwijde non-profit organisatie die innovatie stimuleert door middel van open source, maken vandaag de resultaten bekend van hun eerste, gezamenlijke onderzoeksrapport: The State of Open Source Security.
Uit de resultaten komt naar voren dat het algemene gebruik van open source-software in moderne applicatieontwikkeling aanzienlijke securityrisico’s met zich meebrengt en dat veel organisaties momenteel te slecht voorbereid zijn om deze risico’s effectief te beheersen. Om precies te zijn:
- Meer dan vier op de tien (41%) organisaties hebben niet veel vertrouwen in de veiligheid van hun open source-software;
- Het gemiddelde applicatieontwikkelingsproject heeft 49 kwetsbaarheden en 80 directe afhankelijkheden (open source-code die door een project wordt aangeroepen); en,
- De tijd die het kost om kwetsbaarheden in open source-projecten te verhelpen is gestaag toegenomen: de 49 dagen die het kostte in 2018 zijn meer dan verdubbeld tot 110 dagen in 2021.
“Softwareontwikkelaars hebben tegenwoordig hun eigen supply chains- in plaats van onderdelen samen te stellen, stellen ze nu code samen door bestaande open source-componenten te patchen met hun unieke code. Hoewel dit leidt tot meer productiviteit en innovatie, leidt het ook tot aanzienlijke securityproblemen,” zegt Matt Jarvis, directeur Developer Relations bij Snyk. “Dit rapport, wat de eerste in zijn soort is, vond bewijs voor naïviteit in de industrie over de huidige staat van open source-security. Samen met The Linux Foundation zijn we van plan om deze bevindingen te gebruiken om ontwikkelaars wereldwijd verder te onderwijzen en uit te rusten zodat ze snel kunnen blijven bouwen terwijl de veiligheid gewaarborgd blijft.”
“Hoewel open source-software er ongetwijfeld voor zorgt dat ontwikkelaars efficiënter te werk kunnen gaan en het leidt tot versnelde innovatie, maakt de manier waarop moderne applicaties in elkaar worden gezet ze ook uitdagender om ze te beveiligen,” zegt Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). “Dit onderzoek laat duidelijk zien dat het risico reëel is en dat de industrie nog nauwer moet samenwerken om af te stappen van slechte securitypraktijken voor open source of de software supply chain.”
41% van de organisaties heeft niet veel vertrouwen in de security van hun open source-software
Moderne applicatie-ontwikkelteams maken gebruik van code uit allerlei bronnen. Ze hergebruiken code van andere applicaties die ze hebben gebouwd en doorzoeken code-opslagplaatsen om open source-componenten te vinden die de functionaliteiten bieden die ze nodig hebben. Het gebruik van open source vereist een nieuwe manier van denken over developer security die veel organisaties nog niet beheersen.
Daarnaast kwam naar voren dat:
- Minder dan de helft (49%) van de organisaties een securitybeleid heeft voor OSS-ontwikkeling of -gebruik (dit aantal is slechts 27% voor middelgrote tot grote bedrijven); en,
- Drie op de tien (30%) organisaties zonder een open source-securitybeleid openlijk erkent dat niemand in hun team zich direct bezighoudt met open source-security.
Gemiddeld applicatie-ontwikkelingsproject bevat 49 kwetsbaarheden verspreid over 80 directe afhankelijkheden
Wanneer ontwikkelaars een open source-component in hun applicaties opnemen, worden ze onmiddellijk afhankelijk van dat component en lopen ze risico als dit component kwetsbaarheden bevat. Het rapport laat zien hoe aanwezig dit risico is doordat er tientallen kwetsbaarheden zijn ontdekt in verschillende directe afhankelijkheden in elke geëvalueerde applicatie.
Dit risico wordt nog vergroot door indirecte, of transitieve afhankelijkheden, oftewel de afhankelijkheden van je afhankelijkheden. Veel ontwikkelaars zijn niet eens op de hoogte van deze afhankelijkheden, waardoor het nog uitdagender wordt om ze op te sporen en te beveiligen.
Dat gezegd hebbende zijn de respondenten van de enquête zich wel tot op zekere hoogte bewust van de securityproblemen die worden veroorzaakt door open source in de huidige software supply chain:
- Meer dan een kwart van de respondenten gaf aan zich zorgen te maken over de security-impact van hun directe afhankelijkheden;
- Slechts 18% van de respondenten zegt vertrouwen te hebben in de controles die zij hebben ingesteld voor hun transitieve afhankelijkheden; en,
- 40% van alle kwetsbaarheden werd gevonden in transitieve afhankelijkheden.
Tijd tot herstel is meer dan verdubbeld van 49 dagen in 2018 naar 110 dagen in 2021
Nu de ontwikkeling van applicaties complexer is geworden, zijn de security-uitdagingen waarmee ontwikkelteams te maken krijgen ook steeds complexer geworden. Hoewel het de ontwikkeling efficiënter maakt, draagt het gebruik van open source-software ook bij aan de moeilijkheid van het verhelpen van kwetsbaarheden. Uit het rapport blijkt dat het verhelpen van kwetsbaarheden in open source-projecten bijna 20% langer duurt (18,75%) dan in proprietary-projecten.