Analýza společnosti WhiteSource uvádí, že v roce 2019 bylo v open softwaru oznámeno více než 6 000 zranitelností. Takové číslo má samozřejmě smysl pouze relativně, takže – před rokem to bylo přes 4 000. Jedná se především o důsledek širšího akceptování open source softwaru a současně i vyššího důrazu na zabezpečení v podnikovém prostředí. Roste množství uživatelů i speciálních testerů.
Příslušná čísla jsou založena především na datech z National Vulnerability Database. Srovnání s dalšími zdroji ukazuje, že v této databázi se ale objeví pouze 84 % zranitelností v open source softwaru, a i to často až měsíce poté, co je oznámení zveřejněno jinde. Obecně 85 % oznámení o zranitelnosti je poprvé publikováno až v okamžiku, kdy je k dispozici i oprava.
Studie WhiteSource si všímá i toho, v jakém jazyce byl open source software s reportovanými zranitelnostmi původně napsán. Vede C s 30 % případů, následuje PHP (27 %) a Java (15 %). Z toho lze nepřímo odvodit popularitu jednotlivých technologií mezi vývojáři open source. Na druhé straně jiná čísla ale ukazují, že velmi populární je v open source světě Pyhon, nicméně ten je „mezi zranitelnostmi“ zastoupen relativně málo. Může to být důsledek typu aplikací, které jsou takto vytvářeny, důrazu na zabezpečení mezi programátory (či vestavěním bezpečnosti přímo do vývojových prostředí), ale stejně dobře lze situaci interpretovat i naopak: laxním přístupem uživatelů, vývojářů a testerů k další bezpečnostní analýze tohoto softwaru. Zajímavé je srovnat situaci v roce 2019 s údaji za předcházející desetiletí jako celek (2009–2018). Zde měl jazyk C 47 %, takže i vývojáři open source ho přece jen opouštějí na úkor C++ (z 6 % na 9 %), Javy (z 11 % na 15 %) a PHP (z 15 % na 27 %). Podobně jako v případě Pythonu se růst popularity JavaScriptu, k němuž došlo v této době, neprojevil na množství zranitelností objevených v příslušných kódech.
Co se týče typů zranitelností, nejčastější byly chyby typu cross-site scripting, nedostatečné ověřením vstupu a přetečení zásobníku. Jedná se prostě o nejběžnější programátorské chyby, stejně tak tomu bylo i o rok předtím a totéž téměř jistě platí i pro software obecně. Zajímavé snad je, že po několika letech opět vzrostlo množství reportovaných zranitelností typu SQL Injection. Naznačuje to větší riziko útoků na databáze přístupné přes webové rozhraní, vlastní příčina je zřejmě v tom, že stále více webových projektů využívá nějaký open source software.
Zdroj: HelpNetSecurity