SIG Benchmark: omgang met open source is tikkende tijdbom

SIG analyseerde voor zijn vierde jaarlijkse Benchmark Report maar liefst 70 miljard regels code in ruim 300 technologieën. In totaal werden 7.500 systemen geanalyseerd, 1.200 meer dan vorig jaar.

Uit die uitgebreide analyse van softwaresystemen komt deels goed nieuws: de kwaliteit van softwareprojecten blijft stijgen. "Tien jaar geleden moesten we nog echt bij klanten aandringen dat ze gingen unit testen of tests gingen automatiseren. Dat hoeft niet meer", zei Magiel Bruntink, head of research bij SIG, tijdens de presentatie van het rapport. "Dit geeft echt aan dat als je mee wilt komen met concurrenten, je je softwareprojecten moet blijven verbeteren."

Updaten gaat te traag

Maar het SIG-softwarerapport bevat dit jaar dus ook een flinke waarschuwing, en wel op het gebied van open source. Daar is veel meer aandacht voor nodig, vindt SIG, omdat er nu veel fout gaat. Zo blijkt dat als er een update beschikbaar wordt van een open source library, deze vaak pas jaren later geïnstalleerd wordt. Dat kan gevaarlijk zijn, want in die verouderde libraries kunnen kwetsbaarheden zitten die nu - en de komende tijd - niet gedicht worden.

"Zo'n één op de tien pakketten die nu gebruikt worden, heeft bekende kwetsbaarheden, maar wordt nog steeds gebruikt", zegt Bruntink hierover. Ook de aanwezigheid van kritieke kwetsbaarheden blijkt er niet eens voor te zorgen dat libraries geüpdatet worden. 70% gebruikt na een jaar nog steeds Java-libraries met een bekende kwetsbaarheid, blijkt uit het onderzoek van SIG naar systemen die in de praktijk worden gebruikt.

Een gedeeltelijke oplossing zit volgens het rapport in het geautomatiseerde beheer van dependencies. Libraries die niet geautomatiseerd beheerd worden, worden namelijk twee keer langzamer geüpdatet dan pakketten die wel geautomatiseerd beheerd worden.

Shift-left en legacy

Om het probleem aan te pakken, adviseert SIG bedrijven om actief aan de slag te gaan met shifting-left op het gebied van security en supplychainrisico's. Dat houdt in dat bedrijven in een vroeger ontwikkelstadium al aan de gang gaan met het vinden, mitigeren of oplossen van beveiligingsproblemen. "Dit kan bereikt worden door de zichtbaarheid op problemen diep in software-ecosystemen te verhogen en teams de mogelijkheid te geven om ze snel aan te pakken", aldus het rapport. Daarbij is het ook belangrijk dat er geïnvesteerd wordt in opensourceprojecten.

Een ander advies van SIG draait dit jaar om de aanpak van legacy, dat nog steeds een "olifant in de kamer" is. En alleen werken met nieuwere technologieën, zoals low code, biedt daar volgens SIG geen directe oplossing voor. "Technologieën als low code en andere moderne programmeertechnologieën bieden vaak de potentie om de kwaliteit te verbeteren, maar zijn geen directe oplossing voor de vaak risicovolle en dure taak om oude software te vervangen. Daar is nog steeds engineering-werk en veel zorgvuldige migratieplanning voor nodig, wat veel organisaties niet goed zelf kunnen doen."