Open source smokkelt gemiddeld per applicatie 24 bugs binnen

6 procent van de gedownloade componenten bevatte een bekend lek, stelde Sonatype vast. Dat betekent dat ruim een miljoen lekke componenten zijn gedownload. Dat is een forse toename ten opzichte van 2012. Toen schatte Sonatype het aantal downloads van lekke componenten op 680.000.

Sonatype heeft ook een poging gedaan om te inventariseren wat dat betekent. Daartoe onderzocht het 1500 applicaties; die bleken gemiddeld 24 lekken meegekregen te hebben door lekken in gedownloade component(en). Ook softwareleveranciers en financiële instellingen gaan in de fout, overigens. Bij een aparte analyse van grotere softwareleveranciers en financiële instellingen bleken deze gemiddeld in 7,5 procent van de gevallen een lekke component te downloaden.

Probleem niet altijd inzichtelijk

Waarom organisaties componenten downloaden waarvan bekend is dat er een lek in schuilt, is niet duidelijk. Veelal kiezen ontwikkelaars voor een component die ze al kennen en waarvan ze weten dat die past binnen 'hun' infrastructuur, is de veronderstelling Het probleem is ook niet in alle gevallen inzichtelijk. Nogal wat software die in de bibliotheek wordt gezet, gebruikt componenten van derden die zelf al lek kunnen zijn of raken. De ontwikkelaars die de betreffende module in de bibliotheek zetten, zijn daar ook niet altijd alert op. Dergelijke geïmporteerde lekken worden slechts in 41 procent van de gevallen gedicht, en het duurt gemiddeld 390 dagen - dus meer dan een jaar - voordat die reparatie is aangebracht.

Sonatype heeft zelf geen verantwoordelijkheid voor de slordigheid waarmee afnemers en sommige contribuanten omgaan met de kwaliteit van de code. Die taak valt toe aan de opensourcegemeenschappen zelf. Maar Sonatype vindt wel dat het zo niet langer kan. Het dringt er bij alle betrokkenen op aan het versiebeheer te verbeteren en ook beter in kaart te brengen uit welke componenten applicaties samengesteld zijn. Dat is geen onontgonnen terrein waarop pionierswerk verricht moet worden, merkt Sonatype op. In andere sectoren is het gebruik van stuklijsten en registratie van de leveringsketen heel gebruikelijk. De daarvoor beschikbare oplossingen zouden heel eenvoudig overgezet moeten kunnen worden naar de softwaresector.