Badanie przeprowadzono we współpracy z firmą Sonatype, zarządzającą repozytorium blisko 300 tys. bibliotek dostępnych na zasadach open source.

"W ciągu ostatnich kilku lat obserwujemy stały wzrost popularności aplikacji tworzonych na podstawie ogólnodostępnych bibliotek. Niestety, społeczność open source nie zrobiła w tym czasie zbyt wiele, by stworzyć sprawnie funkcjonujący system informowania o wykrytych błędach oraz o metodach usuwania ich" - komentuje Jeff Williams, szef Aspect Security.

Zobacz również:

• System MS-DOS wrócił po latach w postaci open source
• Google udostępnia AI Gemma dla developerów

"Nie istnieje właściwie system informowania o lukach i poprawkach dla nich - naszym badaniem chcieliśmy zwrócić uwagę na ten problem" - dodał przedstawiciel firmy.

Na potrzeby raportu "The Unfortunate Reality of Insecure Libraries" przeanalizowano łącznie 113 mln pobrań - szczególną uwagę zwrócono na 31 popularnych bibliotek dostępnych na licencji open source, które pobrano w ciągu minionego roku. Specjalisci stwierdzili, że:

- w przypadku 19,8 mln pobrań użytkownik pobierał bibliotekę posiadającą znany błąd w zabezpieczeniach

- najczęściej pobierano dziurawe wersje Google Web Toolkit (GWT), Apache Xerces, Spring MVC oraz Struts 1.x.

- błędy zwykle wykrywano w bibliotekach związanych z funkcjami bezpieczeństwa.

"Dzisiejsze programy zwykle korzystają z 30 lub nawet więcej bibliotek, które często składają się nawet na 80% kodu aplikacji" - zwracają uwagę autorzy raportu. Z opracowania dowiadujemy się też, że znajdowane błędy różniły się od siebie - niektóre umożliwiały zdalne przejęcie kontroli nad systemem, inne mogły doprowadzić "tylko" do zawieszenia aplikacji lub uszkodzenia danych

Zdaniem przedstawicieli Aspect Security główny problem polega na tym, że nie istnieje obecnie spójny system informowania o błędach w open source'owych bibliotekach. Zwykle po wykryciu jakiejś luki osoba, która ją znalazła publikuje informację na ten temat na którejś z popularnych stron lub list mailingowych czy blogu. Mało kto informuje od razu autorów oprogramowania, więc ci nie zawsze mają szansę szybko zareagować i usunąć problem z oprogramowaniem.