Dramatyczny wzrost liczby podatności oprogramowania open source

Zdaniem specjalistów z RiskSense trend ten utrzyma się w najbliższym czasie, gdyż również w pierwszym kwartale tego roku odnotowano większą niż w tym samym okresie w 2019 roku liczbę podatności bezpieczeństwa otwartego oprogramowania.

Firma wskazuje, że zanim podatność oprogramowania OS zostanie zarejestrowana w specjalnej bazie danych informującej o zagrożeniach cyberbezpieczeństwa w oprogramowaniu, średnio upływają obecnie 54 dni. RiskSense ocenia, że to wydłużony okres, w ciągu którego firmy i organizacje korzystające z otwartego oprogramowania narażone są na poważne ryzyko związane z bezpieczeństwem aplikacji wykorzystywanych w codziennej działalności. Wśród podatności, które oddziałują w takiej sytuacji negatywnie na bezpieczeństwo pracy znajdują się również luki o krytycznym znaczeniu, mogące stanowić furtkę dla działań cyberprzestępców - ostrzegają eksperci.

Projektami open source, w których wykazano najwięcej luk bezpieczeństwa, są serwer automatyzujący Jenkins (646 luki) oraz system MySQL (624). W przypadku każdej z tych usług 15 podatności może zostać wykorzystanych do celów ofensywnych przez potencjalnych hakerów. Istotne wady zawiera również oprogramowanie Apache Tomcat, Magento, Kubernetes, bazy danych Elasticsearch i JBoss.

"Oprogramowanie open source przeważnie postrzegane jest jako bezpieczniejsze niż produkty komercyjne, gdyż przechodzi wieloetapowy proces audytowania przez społeczność" - wskazuje szef firmy RiskSense Srinivas Mukkamala. "To badanie ilustruje jednak problem, jaki stanowią podatności oprogramowania open source dla wielu korzystających z niego instytucji. Luki występujące w tych aplikacjach mogą mieć niewyobrażalnie szerokie konsekwencje" - ostrzega badacz.