Исследование: в открытом ПО резко прибавилось уязвимостей

В исследовании The Dark Reality of Open Source было рассмотрено 54 таких проекта за период с 2015 года по март 2020-го. Всего специалисты насчитали в них 2694 уязвимости. Из них 968 были обнаружены в прошлом году — против 421 годом ранее. В 2017-м было зафиксировано 435 уязвимостей.

Авторы исследования отмечают, что хотя опенсорсный софт часто считается безопаснее проприетарного за счёт проверки сообществом, результаты исследования говорят о том, что количество проблем в нём растёт, и это может нести угрозу компаниям, делающим выбор в его пользу. А так как сегодня ПО с открытым кодом очень популярно, любая новая уязвимость может затронуть достаточно широкий круг пользователей.

Также исследователи посчитали, что в среднем уязвимости в опенсорсном ПО попадают в реестр National Vulnerability Database в течение 54 дней после первого обнародования информации о них, то есть компании остаются подвержены риску атак около двух месяцев. Причём такое запаздывание было характерно для уязвимостей разной степени серьёзности.

Антирекорд поставила критическая уязвимость в СУБД PostgreSQL — 1817 дней, а 119 уязвимостей были внесены в NVD спустя более чем год.

Пресс-релиз RiskSense размещён здесь.