91 per cento delle basi di codice commerciali contengono componenti open source che non sono stati mantenuti per ben due anni; anche le vulnerabilità sono diffuse. Questo è il quadro dipinto da 1.500 audit che sono stati incorporati nella "Open Source Security and Risk Analysis" di Synopsys.
Ogni anno, il Cybersecurity Research Center (CyRC) di Synopsys analizza i rapporti di audit prodotti dal team "Black Duck Audit Services" ed elabora i risultati nel rapporto "Open Source Security and Risk Analysis" (OSSRA). Il rapporto fa quindi luce sull'uso e l'influenza dei componenti open source all'interno delle applicazioni commerciali.
Secondo il rapporto, il codice open source si trova nella maggior parte delle applicazioni in tutti i settori. Nel campo della tecnologia di marketing, nessuna delle aziende controllate può fare a meno del software open source; le vulnerabilità sono state trovate nel 95% dei casi. Il codice open source arricchisce anche il settore sanitario (98 per cento delle basi di codice) e il settore finanziario (97 per cento), ma purtroppo anche con vulnerabilità (67 e 60 per cento rispettivamente).
Secondo Synopsys, l'uso diffuso di componenti open source orfani è particolarmente preoccupante. Il 91% di tutte le basi di codice conteneva dipendenze open source che non erano state ulteriormente sviluppate nei due anni precedenti. Il codice non è stato quindi né migliorato né sono state rese disponibili patch di sicurezza durante questo periodo.
Questo non è sorprendente, commenta Tim Mackey, Principal Security Strategist di Synopsys CyRC, dopo tutto, il benessere dell'open source dipende dall'impegno della comunità: "Se c'è una mancanza di impegno adeguato della comunità, può influenzare la vitalità dell'intero progetto". In vista dei problemi di sicurezza associati, le aziende dovrebbero sostenere i progetti che sono critici per il loro successo finanziariamente e con il personale.
Dipendenze vecchie e violazioni di licenza
Ma la mancanza di manutenzione va anche nell'altra direzione: nell'85% di tutte le basi di codice, sono state trovate dipendenze open source che sono state superate da più di quattro anni, anche se le rispettive comunità di sviluppatori sono ancora attive. Oltre ai problemi di sicurezza causati dalle patch mancanti, le aziende e gli sviluppatori stanno anche accettando un altro rischio, dice Synopsys, "cioè funzionalità indesiderate e problemi di compatibilità che possono verificarsi con gli aggiornamenti futuri."
Un altro problema che i fornitori di analisi della composizione del software sottolineano regolarmente è la violazione dei termini delle licenze libere. Nelle revisioni più recenti, Synopsys ha trovato carenze corrispondenti in nove basi di codice su dieci, che vanno da conflitti di licenza a riferimenti di licenza errati e adattati o completamente mancanti.
I conflitti di licenza di solito si verificano in relazione alla GNU GPL (General Public License). Un buon quarto delle basi di codice usa componenti open source senza alcuna licenza o con una licenza adattata. Le aziende dovrebbero quindi avere una visione precisa di quali dipendenze utilizzano e a quali condizioni. Le aziende dovrebbero anche essere in grado di valutare le preoccupazioni legali così come le violazioni dei diritti di proprietà intellettuale in vista delle operazioni di fusione e acquisizione.
Per maggiori informazioni, gli interessati possono leggere il rapporto OSSRA 2021 e il blog di Synopsys.