Veel software bevat foutgevoelige opensource-componenten
Dit blijkt uit onderzoek van Sonatype, een bedrijf dat de infrastructuur onder een repository onderhoudt waarin honderdduizenden open source Java-componenten zitten. Afgelopen jaar werden 240.757 componenten daaruit gedownload door grote softwarebedrijven en financiële instellingen. Uit het onderzoek van Sonatype blijkt dat meer dan 7,5 procent daarvan ofwel zo'n 15.000 componenten bekende kwetsbaarheden bevatten, meldt Computerworld.
Shutterstock
Shutterstock
Sonatype host de Central Repository, maar beheert deze niet en heeft dus geen controle over wat er in en uit gaat. Volgens het Sonatype-onderzoek kunnen veel software-ontwikkelaars ook helemaal niet aangeven of er componenten in verwerkt zijn met een bekende kwetsbaarheid omdat een sluitende inventarisatie van gebruikte componenten vaak ontbreekt.
Sonatype analyseerde van 29 financiële instellingen en technologiebedrijven de top 100 van meest gedownloade componenten over 2014. Daaruit blijkt dat zij gemiddeld 27 verschillende versies van elk component gebruikten. Daaruit valt te concluderen dat ze in veel gevallen verouderde en mogelijk ook kwetsbare versies gebruiken. In één geval bleken ontwikkelaars bij een financiële instelling zelfs 51 van de 58 beschikbare versies van het Spring Application Framework te hebben gedownload. Volgens Sonatype is dit indicatief voor de slordige software-inventaris die ontwikkelaars bijhouden. Het probleem is niet nieuw, maar neemt wel in omvang toe door de snelheid waarmee software klaar moet zijn, suggereert Sonatype,
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee