Parole dure nel titolo, ma è quanto riporta un’analisi fatta da Synopsys, azienda di Mountain View e che si occupa di produzione di chip e sicurezza del software.

Quanto emerge dal loro 2020 Open Source Security and Risk Analysis Report (OSSRA) lascia un pochino perplessi: all’incirca il 99% del codice di cui è stato fatto l’audit (anche software commerciale, ad esempio, di Apple, Microsoft o Zoom) contiene almeno un componente open-source.

Ottime notizie quindi? Beh, se da una parte questo dimostra ulteriormente la validità delle tecnologie open-source, l’analisi ha portato alla luce un altro problema: il 91% di questo codice è o più vecchio di 4 anni, o non ha avuto sviluppi negli ultimi 2.

Quindi l’open-source funziona, viene utilizzato da tutti, ma spesso ci si dimentica che va aggiornato anch’esso, o sostituito con progetti attivi, per essere sicuri di utilizzare codice non necessariamente di qualità, ma almeno sicuro.

L’analisi effettuata su oltre 1250 software commerciali ha dimostrato, nello specifico, che il 75% della base codice contiene componenti open-source con vulnerabilità di sicurezza conosciuta. Per fare un paragone, nel 2019 la stessa analisi aveva riportato una percentuale del 60%, con quindi un netto peggioramento nel corso di un semplice anno.

It’s difficult to dismiss the vital role that open source plays in modern software development and deployment, but it’s easy to overlook how it impacts your application risk posture from a security and license compliance perspective […] The 2020 OSSRA report highlights how organizations continue to struggle to effectively track and manage their open-source risk. Maintaining an accurate inventory of third-party software components, including open source dependencies, and keeping it up to date is a key starting point to address application risk on multiple levels.

E’ difficile ignorare il ruolo vitale che l’open-source ha nei moderni processi di sviluppo e rilascio del software, ma è facile ignorare l’impatto che pone alla propria applicazione da una prospettiva di sicurezza e conformità delle licenze […] L’OSSRA 2020 evidenzia come le aziende continuano a faticare a tracciare e gestire in maniera efficace il loro rischio introdotto dall’open-source. Gestire un inventario accurato delle componenti software di terze parti, compreso delle dipendenze open-source, e mantenerlo aggiornato è un punto di partenza chiave per gestire il rischio applicativo su più livelli.

I consigli di Tim Mackey, responsabile delle strategie di sicurezza del Cybersecurity Research Center di Synopsys sono ottimi, ma il problema pare non essere legato alla sola software security.

Già perchè il 68% della base del codice analizzata contiene anche dei conflitti a livello di licenze open-source e, ancora peggio, il 33% contiene codice open-source senza una licenza chiaramente identificabile.

Ma cosa ci indicano alla fine questi dati? Possiamo, secondo noi, identificare due punti chiave:

• il software open-source c’è, ed è oramai fondamentale nello sviluppo di qualsiasi applicazione, sia essa libera o commerciale;
• il software open-source non è una manna dal cielo, che un’azienda può includere e dimenticarsene. Come tutti i software va curato, aggiornato e sostituito quando diventa obsoleto

Quindi, di fatto, restare al passo con i tempi non è solo un’ottima idea per migliorare il nostro codice o la nostra produttività, ma anche per la nostra sicurezza.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.