Nieuw onderzoek van Snyk en The Linux Foundation onthult significante securityproblemen als gevolg van de veelgebruikte Open Source-software

De status van de Open Source-security laat zien dat veel organisaties geen strategie hebben om applicatiekwetsbaarheden als gevolg van code-hergebruikaan te pakken

| Snyk | 4 min | 23 juni 2022 9:34
Copyright: Snyk
Snyk, de leider in developer security, en The Linux Foundation, een wereldwijde non-profit organisatie die innovatie stimuleert door middel van open source, maken vandaag de resultaten bekend van hun eerste, gezamenlijke onderzoeksrapport: The State of Open Source Security.

Uit de resultaten komt naar voren dat het algemene gebruik van open source-software in moderne applicatieontwikkeling aanzienlijke securityrisico's met zich meebrengt en dat veel organisaties momenteel te slecht voorbereid zijn om deze risico's effectief te beheersen. Om precies te zijn:
  • Meer dan vier op de tien (41%) organisaties hebben niet veel vertrouwen in de veiligheid van hun open source-software;
  • Het gemiddelde applicatieontwikkelingsproject heeft 49 kwetsbaarheden en 80 directe afhankelijkheden (open source-code die door een project wordt aangeroepen); en,
  • De tijd die het kost om kwetsbaarheden in open source-projecten te verhelpen is gestaag toegenomen: de 49 dagen die het kostte in 2018 zijn meer dan verdubbeld tot 110 dagen in 2021.

"Softwareontwikkelaars hebben tegenwoordig hun eigen supply chains- in plaats van onderdelen samen te stellen, stellen ze nu code samen door bestaande open source-componenten te patchen met hun unieke code. Hoewel dit leidt tot meer productiviteit en innovatie, leidt het ook tot aanzienlijke securityproblemen," zegt Matt Jarvis, directeur Developer Relations bij Snyk. "Dit rapport, wat de eerste in zijn soort is, vond bewijs voor naïviteit in de industrie over de huidige staat van open source-security. Samen met The Linux Foundation zijn we van plan om deze bevindingen te gebruiken om ontwikkelaars wereldwijd verder te onderwijzen en uit te rusten zodat ze snel kunnen blijven bouwen terwijl de veiligheid gewaarborgd blijft."

"Hoewel open source-software er ongetwijfeld voor zorgt dat ontwikkelaars efficiënter te werk kunnen gaan en het leidt tot versnelde innovatie, maakt de manier waarop moderne applicaties in elkaar worden gezet ze ook uitdagender om ze te beveiligen," zegt Brian Behlendorf, General Manager, Open Source Security Foundation (OpenSSF). "Dit onderzoek laat duidelijk zien dat het risico reëel is en dat de industrie nog nauwer moet samenwerken om af te stappen van slechte securitypraktijken voor open source of de software supply chain."

41% van de organisaties heeft niet veel vertrouwen in de security van hun open source-software

Moderne applicatie-ontwikkelteams maken gebruik van code uit allerlei bronnen. Ze hergebruiken code van andere applicaties die ze hebben gebouwd en doorzoeken code-opslagplaatsen om open source-componenten te vinden die de functionaliteiten bieden die ze nodig hebben. Het gebruik van open source vereist een nieuwe manier van denken over developer security die veel organisaties nog niet beheersen.

Daarnaast kwam naar voren dat:
  • Minder dan de helft (49%) van de organisaties een securitybeleid heeft voor OSS-ontwikkeling of -gebruik (dit aantal is slechts 27% voor middelgrote tot grote bedrijven); en,
  • Drie op de tien (30%) organisaties zonder een open source-securitybeleid openlijk erkent dat niemand in hun team zich direct bezighoudt met open source-security.

Gemiddeld applicatie-ontwikkelingsproject bevat 49 kwetsbaarheden verspreid over 80 directe afhankelijkheden

Wanneer ontwikkelaars een open source-component in hun applicaties opnemen, worden ze onmiddellijk afhankelijk van dat component en lopen ze risico als dit component kwetsbaarheden bevat. Het rapport laat zien hoe aanwezig dit risico is doordat er tientallen kwetsbaarheden zijn ontdekt in verschillende directe afhankelijkheden in elke geëvalueerde applicatie.

Dit risico wordt nog vergroot door indirecte, of transitieve afhankelijkheden, oftewel de afhankelijkheden van je afhankelijkheden. Veel ontwikkelaars zijn niet eens op de hoogte van deze afhankelijkheden, waardoor het nog uitdagender wordt om ze op te sporen en te beveiligen.

Dat gezegd hebbende zijn de respondenten van de enquête zich wel tot op zekere hoogte bewust van de securityproblemen die worden veroorzaakt door open source in de huidige software supply chain:
  • Meer dan een kwart van de respondenten gaf aan zich zorgen te maken over de security-impact van hun directe afhankelijkheden;
  • Slechts 18% van de respondenten zegt vertrouwen te hebben in de controles die zij hebben ingesteld voor hun transitieve afhankelijkheden; en,
  • 40% van alle kwetsbaarheden werd gevonden in transitieve afhankelijkheden.
Tijd tot herstel is meer dan verdubbeld van 49 dagen in 2018 naar 110 dagen in 2021

Nu de ontwikkeling van applicaties complexer is geworden, zijn de security-uitdagingen waarmee ontwikkelteams te maken krijgen ook steeds complexer geworden. Hoewel het de ontwikkeling efficiënter maakt, draagt het gebruik van open source-software ook bij aan de moeilijkheid van het verhelpen van kwetsbaarheden. Uit het rapport blijkt dat het verhelpen van kwetsbaarheden in open source-projecten bijna 20% langer duurt (18,75%) dan in proprietary-projecten.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Snyk
Snyk is een DevOps-first securitybedrijf dat organisaties helpt om open source veilig te gebruiken. Snyk is de enige oplossing die naadloos en proactief kwetsbaarheden en licentie-inbreuken in open source dependencies en container images vindt en herstelt. De oplossing van Snyk is gebouwd op een uitgebreide, eigen database met kwetsbaarheden, die wordt onderhouden door een gespecialiseerd researchteam in Israël en Londen. Dankzij de nauwe integratie in bestaande DevOps-workflows, broncontrole (inclusief GitHub, Bitbucket, GitLab) en CI/CD-pipelines, maakt Snyk efficiënte beveiligingsworkflows mogelijk en wordt de mean-time-to-fix gereduceerd.
Meer over Snyk
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191029200614.jpg
Drive value with data
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.