81% van de codebases heeft minstens één kwetsbaarheid

Veel van de codebases blijken niet alleen een kwetsbaarheid te bevatten, maar 85% bevat ook een opensourcecomponent dat al minstens vier jaar verouderd is. 88% bevat componenten waar de laatste versie niet van geïnstalleerd is, aldus Synopsys in het rapport. In die gevallen is er dus wel een patch of update beschikbaar, maar is deze niet geïnstalleerd. Volgens Synopsys heeft dat er vooral mee te maken dat het DevSecOps-team zich er niet van bewust is dat er een nieuwere versie van een opensourcecomponent beschikbaar is.

Hoewel de aantallen hoog zijn, is dit wel een verbetering ten opzichte van een jaar eerder. Toen had 84% van de codebasis minstens één kwetsbaarheid en 91% componenten waar de update niet van geïnstalleerd was. En ook het aantal codebasis met een kwetsbaarheid die een hoge risicofactor heeft is afgenomen: 49% van de codebases bevatte zo'n kwetsbaarheid, 11% minder dan een jaar eerder.

Principal security strategist Tim Mackey van Synopsys zegt tegenover Dark Reading dan ook dat bedrijven een eerste stap in de strijd tegen kwetsbaarheden zetten. Maar er is nog wel een lange weg te gaan. "Het hele idee dat mensen proberen hun zaakjes op een rij te krijgen rondom wat ze zouden doen vanuit een softwaretoeleveringsketenperspectief klopt tot op zekere hoogte, maar we zitten nog niet op een punt dat het echt een deuk slaat in de grote dingen", aldus Mackey.

Grotere verspreiding open source

Synopsys constateert in zijn rapport verder dat er veel meer codebases zijn met opensourcecomponenten. 97% van de codebases die geaudit zijn bevatte open source, wat 64% meer is dan een jaar eerder. Die enorme stijging heeft volgens Synopsys vooral te maken met het feit dat er meer fusies en overnames waren in 2021. Juist bij dat soort zakelijke transacties worden er audits uitgevoerd op codebasis. De kopers willen weten welke risico's er aan de software kleven - zeker op het gebied van security, licenties en de kwaliteit van open source in de software - en de verkopers zijn volgens Synopsys meer bezig met mogelijke softwareproblemen die de verkoop kunnen dwarsbomen.