Уязвимости проникают в коммерческие программы через Open Source

Вышел неутешительный отчет "Report: Commercial Software Riddled With Open Source Code Flaws" компании Black Duck Software, специализирующийся на безопасности открытого программного обеспечения. Кратко о содержании и выводах.

  • исследовано 1071 приложение, использующее открытые исходники;
  • уязвимости ПО с открытым кодом представляют собой высокие риски для систем электронной коммерции и финансовых приложений;
  • 96% приложений используют открытые исходники;
  • 60% финансовых приложений имеют критичные уязвимости, в среднем каждое приложение содержит по 52 уязвимости;
  • 83% приложений электронной коммерции имеют критичные уязвимости;
  • 85% приложений включают код с нарушениями открытой лицензии GPL;
  • средний возраст найденных уязвимостей - 5 лет.

За прошедший год было выявлено 3623 новых уязвимостей в компонентах ПО с открытым кодом, что составляет в среднем по 10 в день. Поэтому аудиторы рекомендуют регулярно проводить полную инвентаризацию используемого открытого кода, отслеживать обнаруживаемые уязвимости и их исправления.

Комментарии

Изображение пользователя Serguei_Tarassov.

Исходники

Исходники, скорее всего. Если включаешь их или тем более модифицируешь, то и продавать обязан с открытым кодом. Облегченные варианты типа LGPL/Apache/BSD не всегда используются авторами.