Overslaan en naar de inhoud gaan

81% van de codebases heeft minstens één kwetsbaarheid

Maar liefst 81% van alle software-codebases bevat minstens één kwetsbaarheid. Dat stelt Synopsys in haar jaarlijkse Open Source Security and Risk (OSSRA) rapport, waarin de resultaten van de audits van ruim 2.400 commerciële codebasis geanalyseerd zijn.
Security check
© Pixabay License/CC0
Pixabay License/CC0

Veel van de codebases blijken niet alleen een kwetsbaarheid te bevatten, maar 85% bevat ook een opensourcecomponent dat al minstens vier jaar verouderd is. 88% bevat componenten waar de laatste versie niet van geïnstalleerd is, aldus Synopsys in het rapport. In die gevallen is er dus wel een patch of update beschikbaar, maar is deze niet geïnstalleerd. Volgens Synopsys heeft dat er vooral mee te maken dat het DevSecOps-team zich er niet van bewust is dat er een nieuwere versie van een opensourcecomponent beschikbaar is.

Hoewel de aantallen hoog zijn, is dit wel een verbetering ten opzichte van een jaar eerder. Toen had 84% van de codebasis minstens één kwetsbaarheid en 91% componenten waar de update niet van geïnstalleerd was. En ook het aantal codebasis met een kwetsbaarheid die een hoge risicofactor heeft is afgenomen: 49% van de codebases bevatte zo'n kwetsbaarheid, 11% minder dan een jaar eerder.

Principal security strategist Tim Mackey van Synopsys zegt tegenover Dark Reading dan ook dat bedrijven een eerste stap in de strijd tegen kwetsbaarheden zetten. Maar er is nog wel een lange weg te gaan. "Het hele idee dat mensen proberen hun zaakjes op een rij te krijgen rondom wat ze zouden doen vanuit een softwaretoeleveringsketenperspectief klopt tot op zekere hoogte, maar we zitten nog niet op een punt dat het echt een deuk slaat in de grote dingen", aldus Mackey.

Grotere verspreiding open source

Synopsys constateert in zijn rapport verder dat er veel meer codebases zijn met opensourcecomponenten. 97% van de codebases die geaudit zijn bevatte open source, wat 64% meer is dan een jaar eerder. Die enorme stijging heeft volgens Synopsys vooral te maken met het feit dat er meer fusies en overnames waren in 2021. Juist bij dat soort zakelijke transacties worden er audits uitgevoerd op codebasis. De kopers willen weten welke risico's er aan de software kleven - zeker op het gebied van security, licenties en de kwaliteit van open source in de software - en de verkopers zijn volgens Synopsys meer bezig met mogelijke softwareproblemen die de verkoop kunnen dwarsbomen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in