Veel software bevat foutgevoelige opensource-componenten
Sonatype host de Central Repository, maar beheert deze niet en heeft dus geen controle over wat er in en uit gaat. Volgens het Sonatype-onderzoek kunnen veel software-ontwikkelaars ook helemaal niet aangeven of er componenten in verwerkt zijn met een bekende kwetsbaarheid omdat een sluitende inventarisatie van gebruikte componenten vaak ontbreekt.
Sonatype analyseerde van 29 financiële instellingen en technologiebedrijven de top 100 van meest gedownloade componenten over 2014. Daaruit blijkt dat zij gemiddeld 27 verschillende versies van elk component gebruikten. Daaruit valt te concluderen dat ze in veel gevallen verouderde en mogelijk ook kwetsbare versies gebruiken. In één geval bleken ontwikkelaars bij een financiële instelling zelfs 51 van de 58 beschikbare versies van het Spring Application Framework te hebben gedownload. Volgens Sonatype is dit indicatief voor de slordige software-inventaris die ontwikkelaars bijhouden. Het probleem is niet nieuw, maar neemt wel in omvang toe door de snelheid waarmee software klaar moet zijn, suggereert Sonatype,
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee