La scelta di adottare soluzioni open source porta con sé indubbi vantaggi, ma non si commetta l’errore di pensare che il software appartenente a questa categoria sia immune da vulnerabilità. A sottolinearlo il report intitolato The Dark Reality of Open Source e pubblicato da RiskSense dopo aver preso in considerazione 54 progetti tra i più importanti di questa categoria.
Il report The Dark Reality of Open Source
Il focus non è su prodotti come Linux, WordPress o Drupal che per via della loro popolarità e diffusione catalizzano un’attenzione tale da essere costantemente monitorati per portare alla luce e risolvere in tempi brevi eventuali falle nel codice, bensì su strumenti meno noti sebbene usati su larga scala, da Jenkins a MongoDB, da Elasticsearch a Chef, fino a GitLab, Spark e Puppet. Ciò che hanno rilevato i ricercatori è una forte crescita nel numero dei bug riscontrati nel corso del 2019: 968 rispetto ai 421 del 2018, una quota più che raddoppiata in soli dodici mesi.
Secondo RiskSense uno dei principali problemi di cui tener conto riguarda il fatto che buona parte delle vulnerabilità viene stata segnalata al National Vulnerability Database solo diverse settimane dopo rispetto alla scoperta, esponendo di conseguenza il software e chi lo impiega per lungo tempo a potenziali rischi legati agli exploit messi a punto da malintenzionati. La media del ritardo è 54 giorni, ma in alcuni casi (come con PostgreSQL) si è arrivati a 246 giorni.
I progetti maggiormente presi di mira dal 2015 a 2019 sono risultati essere Jenkins e MySQL, rispettivamente con 646 e 624 vulnerabilità riscontrate in cinque anni, 30 delle quali (15 a testa) interessate da attacchi. È però bene precisare come un numero elevato di bug non per forza di cose corrisponda a un software più esposto: quello che in percentuale ha visto la quota maggiore delle falle prese di mira dai cybercriminali è stato il software di virtualizzazione Vagrant con solo 9 vulnerabilità emerse, ma sfruttate per due terzi.
La versione integrale del report The Dark Reality of Open Source è disponibile sul sito ufficiale di RiskSense.