Dutch IT Chanel Logo mobile
Search icon
Floris Hulshoff Pol - 14 december 2022

Een op de drie opensource-softwarepakketten bevat kwetsbaarheden

Open source

De manier waarop opensource-software werkt, maakt dat veel onderdelen gekende kwetsbaarheden bevatten. Dat is niet altijd een probleem, maar het risico is moeilijk in te schatten.

Ongeveer 32 procent van alle opensource-software bevat in hun meest recente versie gekende zwakke plekken. Dat claimt een rapport van de startup Endor Labs dat Data News kon inkijken. Het bedrijf legt zich toe op het beveiligen van opensource-software en hun toeleveringsketen. Het bedrijf testte 1833 pakketten, hoofdzakelijk op basis van het Census II, een rapport dat de populairste opensource-software en onderdelen in kaart brengt.

Kwetsbaarheden in afhankelijkheden

Het gaat zelden om kwetsbaarheden in het eindproduct zelf. 95 procent ervan zit in zogenaamde transitive dependencies, software of code die onrechtstreeks is betrokken bij het eindproduct. (Opensource-) software maakt vaak gebruik van eerder gemaakte onderdelen.

Een voorbeeld daarvan is wanneer je in je software pakweg de exacte datum of tijd wil tonen, dat je een bestaand stuk code toevoegt in plaats van dat zelf te ontwikkelen. Een bekend voorbeeld was Log4j, een stukje code op basis van Java dat bijna niemand kende, maar wel in heel wat software verwerkt zit. Toen er vorig jaar een lek werd ontdekt in Log4J, bleken heel wat toepassingen en systemen op die manier kwetsbaar.

Risico variëert

Endor Labs zegt dat het voor ontwikkelaars nagenoeg ondoenlijk is om dat allemaal te gaan controleren omdat het vaak om honderden componenten gaat, die soms zelf bestaan uit andere componenten. Wel nuanceert het dat het niet altijd een risico inhoudt. Zo kan het goed zijn dat zo'n onderdeel een kwetsbaarheid bevat, maar dat het deel met de kwetsbaarheid niet wordt gebruikt in je toepassing, of dat de code van buitenaf niet bereikbaar of misbruikbaar is. Het is daarom moeilijk om het exacte risico correct in te schatten.

Verder leren we uit het rapport dat vijftig procent van de populairste opensource-software geen nieuwe versie kreeg in 2022. Voor dertig procent is dat zelfs al van voor 2018 niet meer gebeurd. Al bevat ook updaten een risico dat niet alles compatibel blijft, waarschuwt de startup.

In samenwerking met Data News

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Floris Hulshoff Pol

Floris Hulshoff Pol

Floris Hulshoff Pol freelancer bij FHPContent is sinds 2005 actief als journalist en (web)redacteur voor verschillende zakelijke bladen en websites voor de ICT- en telecombranche in Nederland.

Daarnaast beheert hij sinds 2012 zijn eigen onafhankelijke nieuwssite TelecomNieuwsNet met telecomnieuws.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!