Libraries van derden krijgen zelden update

Ruim drie kwart van de thirdpartylibraries in apps wordt zelden of nooit geüpdatet. Te weinig kennis over de mogelijke impact van een kwetsbare library voor de app en angst voor mogelijke disrupties in de app als gevolg van een update zijn de belangrijkste oorzaken hiervoor. Terwijl 69% van de kwetsbaarheden in thirdpartylibraries verholpen kunnen worden met een kleine patch. Hierbij is de kans dat de update vervelende gevolgen heeft voor functionaliteit van de app zeer klein.

Dat blijkt uit onderzoek van beveiliger Veracode, The Veracode State of Software Security (SoSS) v11: Open Source Edition, die hiervoor 13 miljoen scans analyseerde van rond de 86.000 repositories die meer dan 300.000 unieke software libraries bevatten.

Security geen prioriteit

Terwijl dergelijke libraries bijna constant wijzigingen ondergaan, updaten ontwikkelaars ze maar zelden. Bij de helft van de libraries wordt de update pas na gemiddeld 21 maanden gedaan. Van een kwart staat vast dat ze minstens 4 jaar geen update hebben gehad. En dat kan ook nog wel langer zijn, want het onderzoek van Veracode beslaat maar 4 jaar.

En dat ligt niet aan een eventuele moeilijkheid om ze te updaten. Want developers doen het ook niet als het relatief eenvoudig is om een upgrade door te voeren zonder enig gevaar voor disrupties van de functionaliteiten van de app.

Volgens Veracode is een belangrijke oorzaak dat ontwikkelaars security niet als een prioriteit zien als ze een nieuwe library toevoegen aan een codebase. Ze kijken eerste naar functionaliteit en licentievoorwaarden.