In un momento in cui quasi tutto il software contiene codice open source, almeno una vulnerabilità open source nota è stata rilevata nell’84% di tutti i codebase commerciali e proprietari esaminati dai ricercatori della società di sicurezza delle applicazioni Synopsys. Inoltre, il 48% di tutti i codebase analizzati conteneva vulnerabilità ad alto rischio attivamente sfruttate, che hanno già exploit proof-of-concept documentati o che sono classificate come vulnerabilità di esecuzione di codice remoto.

I dati sulle vulnerabilità, insieme alle informazioni sulla conformità delle licenze open source, sono stati inclusi nel report 2023 Open Source Security and Risk Analysis (OSSRA) di Synopsys, redatto dal Cybersecurity Research Center (CyRC) dell’azienda. Il report si basa sull’analisi delle verifiche dei codebase coinvolti in operazioni di fusione e acquisizione e mette in evidenza le tendenze nell’utilizzo dell’open source in 17 settori. Gli audit hanno esaminato 1.481 codebase per verificare le vulnerabilità e la conformità alle licenze open source, mentre altri 222 codebase sono stati analizzati solo per la conformità.

Le vulnerabilità dell’open source aumentano

Il report si basa sugli audit del codice effettuati nel 2022, in cui il numero di vulnerabilità open source note è aumentato del 4% rispetto al 2021. “L’open source era presente in quasi tutto ciò che abbiamo esaminato quest’anno e costituiva la maggior parte dei codebase in tutti i settori”, si legge nello studio. “I codebase contenevano un numero elevato di vulnerabilità note che le organizzazioni non avevano patchato, con tutti i rischi che si possono immaginare”.

Tutti i codebase esaminati dalle aziende dei settori aerospaziale, aeronautico, automobilistico, dei trasporti e della logistica contenevano codice open source per circa il 73% del codice totale. Il 63% di tutto il codice di questo settore (open source e proprietario) conteneva vulnerabilità classificate come ad alto rischio, ovvero con un punteggio di gravità CVSS pari a 7 o superiore. Nel settore dell’energia e delle tecnologie pulite, il 78% del codice totale era open source e il 69% conteneva vulnerabilità ad alto rischio. Sebbene i codebase delle aziende di questi settori presentino percentuali più elevate di vulnerabilità totali rispetto agli altri settori, “risultati simili, seppur in misura minore, sono stati riscontrati in tutti i settori”, secondo il rapporto.

L’adozione dell’open source fa un balzo in avanti

Secondo lo studio, negli ultimi cinque anni la percentuale di codice open source è aumentata nei codebase di tutti i settori industriali. Tra il 2018 e il 2022, ad esempio, la percentuale di codice open source all’interno dei codebase scansionati è cresciuta del 163% nella tecnologia per il settore dell’istruzione, del 97% nel settore aerospaziale, aeronautico, automobilistico, dei trasporti e della logistica e del 74% nel settore manifatturiero e della robotica. “Attribuiamo la crescita esplosiva dell’open source nell’EdTech alla pandemia, con l’istruzione spinta online e il software che funge da base critica”, si legge sempre nel rapporto.

Aumentano le vulnerabilità ad alto rischio

Nel frattempo, si è registrato un aumento delle vulnerabilità ad alto rischio in tutti i settori. Ad esempio, le aziende del settore aerospaziale, aeronautico, automobilistico, dei trasporti e della logistica hanno registrato un aumento del 232% delle vulnerabilità ad alto rischio nel periodo di 5 anni. “Gran parte dei software e dei firmware utilizzati in questi settori opera all’interno di sistemi chiusi, il che può ridurre la probabilità di un exploit e può portare a una mancanza di urgenza nella necessità di applicare una patch”, ha dichiarato Synopsys.

Le vulnerabilità ad alto rischio nei codebase legati all’IoT sono aumentate del 130% dal 2018. “Questo dato è particolarmente preoccupante se pensiamo all’utilità dei dispositivi IoT; colleghiamo infatti sempre più aspetti della nostra vita a questi dispositivi e confidiamo nella loro sicurezza intrinseca”, hanno sottolineato i ricercatori.

Patch disponibili non applicate

Dei 1.481 codebase esaminati dai ricercatori che includevano valutazioni del rischio, il 91% conteneva versioni obsolete di componenti open-source, il che significa che un aggiornamento o una patch erano disponibili ma non erano stati applicati. Il motivo potrebbe essere che i team devsecops ritenessero che il rischio di conseguenze indesiderate fosse superiore a qualsiasi beneficio derivante dall’applicazione della versione più recente. I ricercatori sostengono che anche il tempo e le risorse potrebbero essere una ragione.

“Con molti team già impegnati al massimo nella creazione e nel collaudo di nuovo codice, gli aggiornamenti del software esistente possono diventare una priorità minore, fatta eccezione per i problemi più critici”, si legge nel rapporto. Inoltre, i team devsecops potrebbero non sapere quando è disponibile una versione più recente di un componente open source.

Per evitare infine exploit di vulnerabilità e mantenere aggiornato il codice open source, le organizzazioni dovrebbero utilizzare una distinta base del software (SBOM), che elenca tutti i componenti open source delle applicazioni, le licenze, le versioni e lo stato delle patch. Una distinta dei componenti open source consente quindi alle organizzazioni di individuare rapidamente i componenti a rischio e di assegnare le priorità di rimedio in modo appropriato.