Helft codebases heeft kritieke kwetsbaarheid door opensource-componenten

Vrijwel iedere codebase (96%) bevat een opensource-component, zo stelt het rapport. Sterker nog: 76% van alle code in het onderzoek blek open source te zijn. Maar daarmee komen ook risico's om de hoek kijken: 84% van de geanalyseerde codebases bevat in ieder geval één bekende opensource-kwetsbaarheid. Hoewel dat zo'n 4% minder is dan vorig jaar, was dit aantal de afgelopen drie jaar wel steeds rond de 80%.

Uit het onderzoek blijkt dus verder dat 48% van de geanalyseerde codebases zelfs een kritieke kwetsbaarheid bevat, 2% minder dan in 2022. Maar dat is wel het laagste aantal in vier jaar tijd: alleen in 2018 was dit aantal lager en zelfs net onder de 40%. 

Toch is er nog geen sprake van goed nieuws. "Organisaties hebben moeite met de omgang met de schaal waarop open source gebruikt wordt", zegt Mike McGuire, senior software solutions manager bij de Synopsys Software Integrity Group, tegenover Dark Reading. "Als je de bijna 600 componenten die iedere app gemiddeld bevat en dat vermenigvuldigd met het aantal kwetsbaarheden die jaarlijks worden gevonden, dan verzuip je écht in het werk."

Veel verouderde componenten

Het rapport laat ook andere uitdagingen rondom open source zien. Zo blijkt 31% van de codebases een opensource-component te gebruiken waar geen licentie of alleen een aangepaste licentie voor beschikbaar is. 

Daarnaast worden er veel verouderde componenten gebruikt. 89% gebruikt opensource-componenten dat ruim vier jaar verouderd is en 91% blijkt componenten te hebben waar in de laatste twee jaar niet meer aan gewerkt is. Dat zijn mogelijk tekenen dat dergelijke componenten niet meer onderhouden worden. Wordt er dus een kwetsbaarheid in gevonden, dan wordt deze mogelijk niet opgelost.