Quase três quartos das bases de código avaliadas quanto ao risco pela Synopsis em 2023 continham componentes de código aberto com vulnerabilidades de alto risco, de acordo com um relatório recém-lançado da empresa, fornecedora de ferramentas de teste de segurança de aplicativos.
Embora o número de bases de código com pelo menos uma vulnerabilidade de código aberto tenha permanecido consistente ano após ano em 84%, disse a Synopsis, o número que continha vulnerabilidades de alto risco aumentou dramaticamente, de 48% em 2022 para 74% em 2023. A Synopsis define alto- vulnerabilidades de risco como vulnerabilidades que foram exploradas, ou que documentaram explorações de prova de conceito, ou que foram classificadas como vulnerabilidades de execução remota de código.
Essas descobertas foram incluídas no nono relatório anual de análise de risco e segurança de código aberto (OSSRA) da empresa, divulgado em 27 de fevereiro. O relatório é baseado em dados de uma análise da equipe da Synopsys Black Duck Audit Services de descobertas anônimas de 1.067 bases de código em 17 setores em 2023. A equipe audita anualmente milhares de bases de código de clientes, com o objetivo de identificar riscos de software durante transações de fusão e aquisição.
Outras descobertas no relatório de segurança e análise de risco de código aberto:
- As organizações geralmente dependem de componentes de código aberto desatualizados ou inativos, com 91% das bases de código contendo componentes com 10 ou mais versões desatualizadas e 49% das bases de código contendo componentes que não tiveram nenhuma atividade de desenvolvimento nos últimos dois anos. Quase um quarto das bases de código tinham vulnerabilidades com mais de 10 anos.
- A indústria de hardware de computador e semicondutores teve a maior porcentagem de vulnerabilidades de código aberto de alto risco (88%), seguida pela manufatura, indústria e robótica com 87%. Entre empresas de IA, business intelligence, machine learning e big data, 66% das bases de código foram afetadas por vulnerabilidades de alto risco.
- Oito das 10 principais vulnerabilidades envolviam pontos fracos de neutralização impróprios, um tipo de ponto fraco que inclui scripts entre sites.
- Mais da metade das bases de código usavam código com conflitos de licença de código aberto e 31% não tinham licença discernível ou tinham uma licença personalizada.