Gebruik opensource-libraries zorgt voor lekke bedrijfsapplicaties

26 procent van de downloads bevat lek

Van die 114 miljoen downloads bevatten 30 miljoen, zo'n 26 procent een bekend beveiligingslek. Maar volgens de onderzoekers onderschat dat cijfer de ernst van de situatie. Om te beginnen zullen veel organisaties een library die ze ooit gedownload hebben, opgeslagen hebben in een eigen repository. Dat betekent dat lekken die in nieuwere versies van die code zijn verholpen, voortleven in de eigen repositories van bedrijven. Dat probleem wordt versterkt doordat er geen centraal publicatiemechanisme is om gebruikers van die libraries te waarschuwen voor lekken. Om achter het bestaan daarvan te komen, moet men regelmatig poolshoogte nemen op tientallen fora, blogs en maillijsten.

Het analyseren van alleen de populairste frameworks en libraries leidt ook tot vertekening. Alleen al binnen de onderzochte 1261 versies van de 31 meest gedownloade frameworks en libraries vonden de onderzoekers 10 procent meer problemen in de minder populaire dan in de meer populaire downloads. Hoe de situatie is met de 303.000 versies van de andere 36.000 libraries en frameworks in de Central Repository, is onduidelijk.

Situatie in minder populaire downloads ernstiger

De statistieken vormen echter wel reden tot zorg voor gebruikers van die niet-onderzochte libraries. In de 31 onderzochte varianten vonden de onderzoekers 70 bekende beveiligingslekken. Als de rest gemiddeld net zo veel lekken bevat, zitten er nog eens 82.000 bekende lekken in de code in de Central Repository. Maar daar komen de niet-bekende lekken nog bij. Uitgaande van de uit eigen onderzoek afgeleide vuistregel dat Java-applicaties vijf tot tien beveiligingsproblemen per 10.000 regels code bevatten, gaat Aspect Security ervan uit dat de 31 onderzochte componenten nog eens 210 nog niet bekende beveiligingslekken bevatten. Extrapolatie naar de totale codebasis in de Central Repository brengt Aspect Security op het aantal van 680.000 lekken. En zelfs dat is waarschijnlijk nog een onderschatting: van de 31 populairste downloads worden veel vaker nieuwe versies (ruim 40, tegen gemiddeld 8) gemaakt, waarin veelal ook beveiligingsproblemen zijn aangepakt.

Adviezen

De conclusies van het onderzoek zijn voor Aspect Security geen reden het gebruik van de libraries en frameworks te ontraden. Als men weet waar de problemen zitten, zijn er meestal wel maatregelen te nemen om misbruik te voorkomen. Aspect Security adviseert IT-organisaties die deze componenten gebruiken wel om maatregelen te nemen. Om te beginnen zou men een inventaris moeten opstellen van de libraries die in huis en in gebruik zijn. De code van libraries zou vervolgens, en later bij iedere nieuwe introductie, gecheckt moeten worden. Zo'n check begint bij het onderzoeken, hoe de ontwikkelgemeenschap achter de library omgaat met beveiliging, maar zou ook een analyse van de broncode moeten omvatten. Daarnaast zou men een lijst van goedgekeurde libraries moeten aanleggen, en het gebruik van niet-goedgekeurde verbieden. En ten slotte zou men maatregelen moeten nemen om de componenten actueel te houden; dat betekent ook budget vrijmaken voor de gevallen dat dat extra programmeerwerk oplevert.

Het rapport is te downloaden op de website van Aspect Security.