Synopsys ha da poco pubblicato la quinta edizione del suo noto report, denominato Open Source Security and Risk Analysis. L’OSSRA fornisce un’istantanea approfondita circa gli aspetti di sicurezza, conformità e qualità del software open source. Nella ricerca si evidenzia come, le porzioni di codice libero contenute nei software commerciali, siano un fattore di rischio in termini sia di sicurezza informatica, che legale. Vediamo quali sono i punti su cui questa analisi vuole far luce.
Open source: un ruolo vitale nei software moderni
La diffusione dell’open source, negli ultimi anni, è indubbiamente aumentata e sta sempre più diventando il modello standard di pubblicazione dei nuovi contenuti. Basti pensare alle dichiarazioni di Microsoft rilasciate in merito, poco tempo fa. Il team di Synopsis ha riscontrato, nella realizzazione dell’OSSRA, che il 70% del codice sottoposto a revisione è identificabile come open source, una cifra in considerevole aumento, se si pensa che nel 2018 era ferma al 60% e nel 2015 solo al 36%.
L’open source ricopre, quindi, un ruolo vitale. Il 99% del campione preso in esame, infatti, ne comprende almeno un componente. Fin troppo spesso, però, si tratta di codice obsoleto, addirittura non aggiornato da oltre un quadriennio. Dalla ricerca, inoltre, emerge che oltre il 75% di questo tipo di codice, utilizzato nel campione, incorpora vulnerabilità note, di cui più della metà ad alto rischio di impatto sulla sicurezza.
Il problema, però, sembra andare ben oltre la sola sicurezza informatica. Secondo il rapporto, infatti, l’uso di componenti open source non gestiti, mette a rischio anche la proprietà intellettuale. Il 68% del campione, infatti, contiene una qualche forma di conflitto di licenza, principalmente nelle app legate al mondo IoT o mobile. Per il 33% non è addirittura identificabile alcun tipo di licenza associata al codice. Un dato che deve far riflettere è il seguente: la percentuale di software contenenti vulnerabilità gravi è salito dal 40% del 2018 al 49% del 2019. Non è tanto la crescita percentuale a spaventare, nonostante sia certamente un dato negativo, quanto il dato in sé (49%!!!).
Conclusioni
L’OSSRA, ovviamente, non tratta della sicurezza del mondo open source in genere, ma si concentra sugli aspetti legati alla sicurezza quando questo mondo si intreccia con quello commerciale. Lo studio si conclude anche con una serie di considerazioni e suggerimenti, per le aziende distributrici di software. In primis tende a suggerire di aumentare ed automatizzare i protocolli legati alla gestione dei componenti open source.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.