Patchen complexer door stijgend aantal opensource-componenten

Bijna alle applicaties gebruiken opensourcecomponenten. Gemiddeld is een applicatie afhankelijk van ruim 500 open source libraries en -componenten. Dat is een stijging van 77% ten opzichte van twee jaar eerder. Gemiddeld bestaat zelfs driekwart van de code uit opensourcecomponenten. Tegelijkertijd heeft 84% van deze applicaties minstens één zwakke plek. Dat klinkt nog redelijk, maar gemiddeld bevat een applicatie er 158. Dat blijkt uit het Open Source Security and Risk Analysis (OSSRA)-onderzoek van Synopsys. Hiervoor werden ruim 1.500 applicaties gescand in 2020.

Het gebruik van zo veel opensourcecomponenten maakt het zeer complex om een lek te dichten. De meeste bedrijven hebben geen overzicht van de lange ketens van afhankelijkheden die zijn ontstaan door het gebruik van zo veel opensourcecomponenenten. De onderzoekers wijzen er op dat als er op lekken wordt gescand vaak alleen de top-levelafhankelijkheid wordt gezien, terwijl er nog tientallen andere libraries in de applicatie geïmporteerd kunnen zijn.

Daar komt nog bij dat veel opensourceprojecten niet regelmatig gepatched worden. Zo had 91% van de onderzochte applicaties minstens één opensourcecomponent dat in de afgelopen twee jaar niet was geüpdatet. 85% van de codebases bevatte opensourceafhankelijkheden die meer dan 4 jaar verouderd waren. Dat houdt in dat er nog wel actieve ontwikkelaars voor zijn die ook updates en patches uitbrengen, maar de gemiddelde zakelijke gebruiker voert die niet door.