De manier waarop open source software werkt, maakt dat veel onderdelen gekende kwetsbaarheden bevatten. Dat is niet altijd een probleem, maar het risico is moeilijk in te schatten.
Ongeveer 32 procent van alle open source software bevat in hun meest recente versie gekende zwakke plekken. Dat claimt een rapport van de startup Endor Labs dat Data News kon inkijken. Het bedrijf legt zich toe op het beveiligen van open source software en hun toeleveringsketen.
Het bedrijf testte 1833 pakketten, hoofdzakelijk op basis van het Census II, een rapport dat de populairste open source software en onderdelen in kaart brengt.
Het gaat zelden om kwetsbaarheden in het eindproduct zelf. 95 procent ervan zit in zogenaamde transitive dependencies, software of code die onrechtstreeks is betrokken bij het eindproduct. (Open source) software maakt vaak gebruik van eerder gemaakte onderdelen.
Een voorbeeld daarvan is wanneer je in je software pakweg de exacte datum of tijd wil tonen, dat je een bestaand stuk code toevoegt in plaats van dat zelf te ontwikkelen. Een gekend voorbeeld was Log4j, een stukje code op basis van Java dat bijna niemand kende, maar wel in heel wat software verwerkt zit. Toen er vorig jaar een lek werd ontdekt in Log4J, bleken heel wat toepassingen en systemen op die manier kwetsbaar.
Risico variëert
Endor Labs zegt dat het voor ontwikkelaars quasi ondoenbaar is om dat allemaal te gaan controleren omdat het vaak om honderden componenten gaat, die soms zelf bestaan uit andere componenten. Wel nuanceert het dat het niet altijd een risico inhoudt. Zo kan het perfect zijn dat zo’n onderdeel een kwetsbaarheid bevat, maar dat het deel met de kwetsbaarheid niet wordt gebruikt in je toepassing, of dat de code van buitenaf niet bereikbaar of misbruikbaar is. Het is daarom moeilijk om het exacte risico correct in te schatten.
Verder leren we uit het rapport dat vijftig procent van de populairste open source software geen nieuwe versie kreeg in 2022. Voor dertig procent is dat zelfs al van voor 2018 niet meer gebeurd. Al bevat ook updaten een risico dat niet alles compatibel blijft, waarschuwt de startup.
Fout opgemerkt of meer nieuws? Meld het hier