Black Duck report: il 54% della codebase Open Source non viene aggiornata

Abbiamo spesso parlato della natura del software open source e di come tendenzialmente possa essere più vantaggioso per un'azienda, in determinate situazioni, adottare soluzioni sotto licenza libera. In media un software open source è sempre più sicuro di uno closed, ma per garantire questo stato di cose i vari programmi devono rimanere costantemente aggiornati in modo da ricevere sempre le ultime patch di sicurezza.

Le aziende di solito sono restie ad aggiornare il proprio parco software e nel caso dei progetti open source non esiste l'obbligo di aggiornare la propria installazione come avviene con i programmi proprietari. Di recente due agenzie hanno analizzato lo status della sicurezza dei programmi open source, pubblicando un interessante report chiamato Black Duck. Si tratta di un ricerca condotta dal COSPRI e dall'OSSRA, due agenzie si occupano da anni di analizzare lo status dell'ecosistema del software open source, esaminando tutti i suoi aspetti, come ad esempio il grado del code-quality risk nei programmi commerciali, osservando le security issue o i vari pattern degli attacchi.

Per realizzare il Black Duck report è stato utilizzato un campione di dati proveniente da oltre 1.100 progetti. In media circa il 57% della codebase analizzata è sotto licenza open source. In particolare le percentuali più alte di codice con licenza libera si possono trovare nel settore dell'IoT, con una media del 77%, e nel Marketing Tech, una una media del 76%.

Come già accennato all'inizio dell'articolo, il principale problema del software open source arriva quando esso non viene aggiornato. Infatti con il codice accessibile a tutti è possibile trovare falle di sicurezza molto più facilmente, ecco perché sarebbe opportuno tenere la propria codebase aggiornata alle ultime versioni, spesso però le aziende preferiscono non aggiornare la propria infrastruttura software per timore che essa registri problemi inattesi o smetta di funzionare.

Dal Black Duck report emerge che i settori con più bug di sicurezza rilevati sono: le applicazioni mobile, le infrastrutture Internet e Software e le soluzioni per la realtà virtuale. Si tratta dunque dei settori dello sviluppo software al momento più gettonati.

All'interno del campione analizzato sono state riscontrate ben 4,800 vulnerabilità software già note. In particolare i componenti più a rischio sarebbero ora Apache, Spring Framework e NodeJS. Questi dati rispecchiano ovviamente anche l'altissima diffusione di questi software nel mercato. I ricercatori hanno anche rilevato che il 54% delle vulnerabilità software sono da considerarsi ad alto rischio, sarebbe dunque vitale aggiornare tali progetti al più presto per evitare danni per la propria utenza.

In conclusione, il Black Duck report fa emergere una realtà davvero preoccupante. Gran parte delle aziende/progetti del campione analizzato ha una codebase non aggiornata e dunque espone i propri clienti ed utenti a rischi evidenti di sicurezza. Ancora oggi rimane sempre molto difficile spingere le aziende ad aggiornare la propria infrastruttura software, sia perché spesso si tratta du un processo lungo e complesso ma anche, e sopratutto, perché si tratta di una procedura costosa.

Via Eirini-Eleni Papadopoulou