91% dos aplicativos usam pelo menos um componente open source sem atualização há quatro anos ou mais – ou que foi completamente abandonado e não tem mais desenvolvimento
Um total de 99% de todo software contém componentes de open source. E perto de 90% desses componentes estão desatualizados. O alerta para o perigo vem de uma pesquisa da Synopsis, uma empresa que lidera o projeto de chips, verificação e integração de propriedade intelectual, além de segurança de software e testes de qualidade. Na pesquisa ‘Open Source Security and Risk Analysis Report’, a empresa examinou 1.253 aplicações comerciais em 17 setores econômicos, incluindo é claro, a própria indústria de software, como também saúde, finanças e telecomunicações. Os componentes de código aberto mais populares são jQuery, Bootstrap, Font Awesome e Lodash, segundo o relatório (clique para download grátis de cópia do documento).
No total, 99% dessas aplicações contêm componentes open source. Em nove dos 17 setores econômicos, 100% das aplicações continham componentes open source. As descobertas mais alarmantes estão nas vulnerabilidades de cibersegurança: 75% das bases de código (linguagens, bibliotecas etc) contêm vulnerabilidades; e 49% das bases de código contêm vulnerabilidades graves. Mais notícias ruins: 33% das bases de código contêm software não-licenciado e 67% encontram-se em conflito de licenças.
Para concluir os problemas mais graves, a Synopsis descobriu que 82% das bases de código utilizam componentes que não são atualizados há mais de quatro anos. E 88% usam componentes que não contam com qualquer atividade de desenvolvimento ou atualização há mais de dois anos.
Veja isso
Checkmarx vendida por US$ 1,15 bilhão para Hellman & Friedman
Palo Alto Networks e Deloitte fazem parceria para região EMEA
O uso de componentes de software de código aberto continua a ser o padrão para o desenvolvimento, com uma média de sete em cada 10 linhas de código no aplicativo médio provenientes de um projeto de código aberto, mostra o estudo. Cada aplicação acaba utilizando, em média, 445 componentes de código aberto, um aumento de 49% em relação à pesquisa do ano passado. O setor de infraestrutura de Internet e software é quem mais usa as bases de código de código ( 83% ), seguidas pelos fabricantes de dispositivos de Internet das Coisas (IoT). Enquanto isso, as telecomunicações e a indústria sem fio usam a menor quantidade de componentes de código aberto, com 46%, enquanto os setores de manufatura, sistemas de controle industrial e robótica utilizam em 50%.
A maioria dos componentes possui vulnerabilidades ou inclui outros componentes de código aberto que possuem vulnerabilidades, segundo o relatório. Três quartos dos componentes de código aberto têm uma vulnerabilidade conhecida e metade tem uma falha crítica.