Development

Security
hack

Aantal kwetsbaarheden in populaire opensource-ecosystemen neemt af

Meeste gevonden kwetsbaarheden zijn wel kritiek. 

26 juni 2020

Meeste gevonden kwetsbaarheden zijn wel kritiek. 

Het lijkt iets beter te gaan met de beveiliging van opensource-software packages. Volgens een nieuw rapport van beveiliger Snyk is het aantal nieuw gevonden kwetsbaarheden in de populairste ecosystemen in 2019 met 20 procent afgenomen ten opzichte van een jaar eerder. Kwetsbaarheden die wel gevonden worden, zijn echter kritiek.

Snyk is een bedrijf dat tools maakt om kwetsbaarheden in opensource-code te vinden en te dichten. Volgens het jaarlijkse rapport van het bedrijf worden er nog altijd veel kwetsbaarheden gevonden in opensource-ecosystemen. In 2019 ging het om 2.028 kwetsbaarheden in de ecosystemen, waarvan er 1002 als kritiek zijn bestempeld. Dat zijn er iets meer dan in 2018, toen het nog om 1.653 ging.

Het goede nieuws is dat het aantal nieuw gevonden kwetsbaarheden in de meest populaire ecosystemen - zoals Rubygems, npm, Maven Central, NuGet en PyPI - het afgelopen jaar juist is afgenomen, namelijk met 20 procent. Dat terwijl het aantal packages in deze ecosystemen flink gegroeid is. npm groeide bijvoorbeeld met 33 procent ten opzichte van 2018. 

Oplossen duurt nog lang

Daarnaast worden bekende kwetsbaarheden als cross-site scripting-fouten nog altijd wel veel gemeld, maar raken zij minder projecten dan in andere jaren. In 2019 had een fout als deze impact op slechts 6,7 procent van alle projecten die Snyk dat jaar scande. Dat suggereert dat deze fouten vaker gevonden en opgelost worden voor een package gepubliceerd wordt. 

De cross-site scripting-fout is echter ook een bekende en wordt mogelijk daarom sneller gevonden. Maar er zijn ook fouten die niet zo snel gevonden worden en in erg populaire packages terechtkomen. Die packages worden vervolgens weer in duizenden andere projecten gebruikt, waarmee de kans op misbruik door aanvallers groter wordt. Dit was bijvoorbeeld het geval met prototype polution, dat impact had op 27 procent van alle projecten. Via een dergelijke fout kunnen aanvallers malafide code injecteren in een verder betrouwbare package. 

Het kan bovendien erg lang duren voor een kwetsbaarheid weer gedicht is. Zo duurt het bij krap twee derde van de kwetsbaarheden nog altijd meer dan 20 dagen om ze op te lossen. 

Development verantwoordelijk

Snyk scande voor zijn rapport niet alleen projecten, maar ondervroeg ook 500 ontwikkelaars, beveiligers en IT operations-medewerkers over beveiliging. Zij werden onder meer gevraagd wie er verantwoordelijk is voor de beveiliging van software. 85 procent noemde daarbij de ontwikkelaars, 55 procent noemt het security-team en 35 procent noemt operations.

Wordt dezelfde vraag gesteld over de beveiliging van de infrastructuur, dan vindt 63 procent dat de developers verantwoordelijk zijn. 56 procent legt de verantwoordelijkheid bij het security-team en nog eens 56 procent bij operations. Dit zijn flinke verschillen met 2018, toen minder dan 25 procent vond dat security en operations hier een rol in speelden.

Lees meer over Development OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.