Open source: vulnerabilità raddoppiate nel 2019

Pochi giorni fa, l’azienda statunitense RiskSense, impegnata nell’ambito della cybersecurity, ha pubblicato un interessante report che riassume un’analisi delle vulnerabilità di sicurezza riscontrate nei software open source nel 2019. I software analizzati dai ricercatori includono alcune soluzioni oggi molto diffuse, arrivando a coprire (sempre secondo RiskSense) circa il 96% dei prodotti attualmente in commercio.

Vulnerabilità e numeri

Il principale risultato di questa analisi ci dice che, durante l’anno passato, il numero di nuove vulnerabilità riscontrate è praticamente raddoppiato rispetto all’anno precedente, passando dalle 421 del 2018, alle 968 dello scorso anno.

Ciò non è eclatante solo per il fatto che tali vulnerabilità riguardano un grandissimo numero di software attualmente in circolazione. È infatti opinione abbastanza diffusa che l’idea dell’open source porti con sé anche un maggior livello di sicurezza. La possibilità di rendere il codice sorgente analizzabile da una vasta comunità di appassionati ed esperti sviluppatori, dovrebbe infatti consentire più facilmente l’identificazione di potenziali falle di sicurezza.

Eppure, i numeri non sembrano dare ragione a questa diffusa idea.

Vulnerabilità e tempistiche

Un’altra nota abbastanza dolente che viene fuori da questa analisi riguarda i tempi di pubblicazione delle nuove vulnerabilità. Queste, infatti, sono generalmente rese pubbliche aggiungendo le informazioni che le riassumono in un database noto come National Vulnerability Database (NVD).

Lo studio di RiskSense ha mostrato come i tempi medi per l’aggiunta di un nuovo record in questo database sono di circa 54 giorni, ma in alcuni casi si allungano moltissimo. È abbastanza significativo il caso di una vulnerabilità molto critica di PostgreSQL, che ha richiesto ben 1817 giorni prima di essere effettivamente aggiunta al database summenzionato.

Le applicazioni più vulnerabili

Altre considerazioni significative riguardano MySQL e Jenkins, che sono le due soluzioni con il maggior numero di vulnerabilità di sicurezza (più di 600 in entrambi i casi).

Inoltre, tra le debolezze più diffuse vi sono il Cross-Site Scripting (XSS) e l’Input Validation, nonostante siano anche quelle più note in linea generale.

Chiunque fosse interessato ad avere maggiori dettagli in merito all’analisi di RiskSense, può fare riferimento al report completo, disponibile a questo link.

Fonte: RiskSense