Quase três quartos das bases de código avaliadas quanto ao risco pela Synopsis em 2023 continham componentes de código aberto com vulnerabilidades de alto risco, de acordo com um relatório recém-lançado pela fornecedora de ferramentas de teste de segurança de aplicativos.
Segundo o estudo, embora o número de bases de código com ao menos uma vulnerabilidade de código aberto tenha permanecido consistente ano após ano em 84%, o número de vulnerabilidades de alto risco aumentou dramaticamente, de 48% em 2022 para 74% em 2023. A Synopsis define vulnerabilidades de alto-risco aquelas que foram exploradas ou que documentaram explorações de prova de conceito (PoC), ou que foram classificadas como vulnerabilidades de execução remota de código (RCE).
Essas descobertas constam do nono relatório anual de análise de risco e segurança de código aberto (OSSRA) da empresa, divulgado dia 27 de fevereiro. O relatório é baseado em dados de uma análise da equipe da Synopsys Black Duck Audit Services de descobertas anônimas de 1.067 bases de código em 17 setores em 2023. A equipe audita anualmente milhares de bases de código de clientes, com o objetivo de identificar riscos de software durante transações de fusão e aquisição.
Outras descobertas no relatório de segurança e análise de risco de código aberto:
- As organizações geralmente dependem de componentes de código aberto desatualizados ou inativos, com 91% das bases de código contendo componentes com dez ou mais versões desatualizadas e 49% das bases de código contendo componentes que não tiveram atividade de desenvolvimento nos últimos dois anos. Quase um quarto das bases de código tinham vulnerabilidades com mais de dez anos.
- A indústria de semicondutores e computadores registrou a maior porcentagem de vulnerabilidades de código aberto de alto risco (88%), seguida por manufatura e robótica com 87%. Entre as empresas de inteligência artificial (IA), business intelligence (BI), machine learning e big data, 66% das bases de código foram afetadas por vulnerabilidades de alto risco.
- Oito das dez principais vulnerabilidades envolviam pontos fracos de neutralização impróprios, um tipo de ponto fraco que inclui scripts entre sites.
- Mais da metade das bases de código usavam código com conflitos de licença de código aberto e 31% não tinham licença discernível ou tinham uma licença personalizada.
- A maioria dos códigos comerciais contém bugs de código aberto de alto risco
- Três quartos (74%) das bases de código comerciais continham componentes de código aberto com vulnerabilidades de alto risco.
As descobertas ocorrem apesar do fato de que a parcela de vulnerabilidades de código aberto em código comercial permaneceu praticamente inalterada durante o período em 84%. O surgimento de bugs de alto risco pode ser devido a demissões na indústria de tecnologia ou à recente incerteza macroeconômica, que pode ter gerado limitações de recursos aos fornecedores para correção, supõe a Synopsys.
“A pressão crescente sobre as equipes de software para agirem mais rápido e fazerem mais com menos em 2023 provavelmente contribuiu para esse aumento acentuado nas vulnerabilidades de código aberto”, argumentou Jason Schmitt, gerente geral do Synopsys Software Integrity Group.
O relatório revelou ainda que a maioria (80%) das vulnerabilidades de código aberto registradas com mais frequência são classificadas como pontos fracos de neutralização impróprios (CWE-707) — um tipo de vulnerabilidade que inclui várias formas de scripts entre sites.
Veja isso
Bugs graves expõem estações de trabalho da Mitsubishi Electric
Chineses usam bug no FortiGate para violar rede militar holandesa
A pesquisa também apontou um grande volume de “código zumbi” em muitas organizações. Cerca de 91% das bases de código continham componentes com 10 ou mais versões desatualizadas, enquanto a idade média das vulnerabilidades de código aberto descobertas era superior a 2,5 anos. Quase um quarto das bases de código continham vulnerabilidades com mais de dez anos.
As descobertas são importantes, pois um número crescente de organizações está sendo comprometido por essas vulnerabilidades. Um estudo de maio de 2023 descobriu que mais de três quintos (61%) das empresas nos EUA foram diretamente afetadas por uma ameaça à cadeia de fornecimento de software no ano anterior.
Em setembro de 2023, a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA lançou um plano há muito aguardado para aumentar a segurança no ecossistema de código aberto.
Para ter acesso ao relatório completo da Synopsis, em inglês, clique aqui.
