Uma nova pesquisa da RiskSense revelou que o número de vulnerabilidades de segurança em software de open source mais que dobrou no ano passado.
Para compilar seu novo relatório intitulado “The Dark Reality of Open Source”, a empresa usou dados de 54 projetos de open source desde 2015 até os primeiros três meses de 2020 para descobrir um total de 2.694 Vulnerabilidades e Exposições Comuns (CVEs)
O relatório da RiskSense descobriu que o número total de vulnerabilidades no software de open source atingiu 968 no ano passado, um aumento de mais de 50% em relação às 421 CVEs encontradas em 2018. Em um comunicado à imprensa, o CEO da RiskSense, Srinivas Mukkamala, forneceu informações adicionais sobre as descobertas do relatório. , dizendo:
“Embora o código-fonte aberto seja frequentemente considerado mais seguro que o software comercial, uma vez que é submetido a análises de terceiros para encontrar problemas, este estudo ilustra que as vulnerabilidades do OSS estão em ascensão e podem ser um ponto cego para muitas organizações. Como o open source é usado e reutilizado em todos os lugares hoje em dia, quando são encontradas vulnerabilidades, elas podem ter consequências incrivelmente abrangentes. ”
Vulnerabilidades de software open source
O estudo da RiskSense também revelou quanto tempo leva para adicionar vulnerabilidades de software de open source ao National Vulnerability Database (NVD). Em média, leva 54 dias para que uma vulnerabilidade seja divulgada publicamente para ser incluída no NVD.
Esse atraso tem sérias conseqüências para as empresas, pois elas podem permanecer expostas a sérios riscos de segurança de aplicativos por quase dois meses. Esses atrasos também foram observados em todas as gravidades, incluindo vulnerabilidades classificadas como críticas e aquelas que estavam sendo ativamente exploradas na natureza.
Dos projetos de open source analisados no relatório, o servidor de automação Jenkins tinha o maior número de CVEs no geral, com 646, e isso foi seguido de perto pelo MySQL com 624. Esses dois projetos também se vincularam às vulnerabilidades mais armadas, com 15 cada.
Quando se tratava de armamento, os pontos fracos de script entre sites (XSS) e de validação de entrada eram alguns dos tipos de vulnerabilidades mais comuns e mais armados no estudo do RiskSense. Os problemas de XSS eram o segundo tipo mais comum de vulnerabilidade, mas eram os mais armados, enquanto os problemas de Validação de Entrada eram o terceiro mais comum e o segundo mais armado.
Existem muitos benefícios no uso de software de open source, embora o relatório da RiskSense mostre que o gerenciamento de vulnerabilidades em suas bibliotecas pode representar desafios únicos para empresas e desenvolvedores.
Saiba mais sobre isso em nosso setor especializado em segurança digital.
