Podle studie The Dark Reality of Open Source společnosti RiskSense vzrostl vloni počet zranitelností v 54 sledovaných open source projektech meziročně na více než dvojnásobek. Mnoho chyb bylo navíc do registru National Vulnerability Database nahlášeno až několik týdnů po zveřejnění jejich objevení. Právě tuto skutečnost pokládají výzkumníci firmy RiskSense za největší bezpečnostní riziko.
Zpráva The Dark Reality of Open Source se věnuje populárním open source projektům, které hojně využívá technologická a softwarová komunita. Jde například o nástroje Jenkins, MongoDB, ElasticSearch, Chef, GitLab, Spark nebo Puppet. Velká, resp. všudypřítomná řešení, která poutají pozornost velké části odborné veřejnosti, jako jsou například Linux, WordPress nebo Drupal, výzkumníci do studie nezařazují.
Před dvěma lety tvůrci zprávy ve sledovaných open source projektech objevili 421 chyb, vloni šlo o 968. Mezi rokem 2015 a březnem 2020 u nich odhalili celkem 2 694 zranitelností. Již zmíněné pozdní hlášení do databáze NVD se v průměru odehrává 54 dnů po odhalení, resp. zveřejnění chyby. V případě poměrně populárního projektu PostgreSQL se zranitelnosti do registru NVD dostávají někdy až s osmiměsíčním zpožděním.
Zveřejněné, ale nenahlášené zranitelnosti softwaru představují pro uživatele vážné bezpečnostní riziko. Databázi NVD využívají bezpečnostní a softwarové firmy jako informační zdroj, s jehož pomocí tvoří a distribuují upozornění na chyby a na jejich ošetření. Pokud v ní oznámení chybí, zůstávají uživatelé vystaveni hrozbě útoků, jež danou zranitelnost potenciálně zneužijí.
Kybernetičtí zločinci s touto variantou často počítají a na neošetřené nebo nenahlášené chyby softwaru se zaměřují. Od roku 2015 patří v tomto směru a v rámci studie společnosti RiskSense k nejčastěji zneužívaným projekty Jenkins a MySQL.
Zranitelnosti a jejich zneužití od roku 2015
Zdroj: RiskSense
