70% проектов с открытым кодом заброшены: это угроза для безопасности

Всё больше компаний рискуют серьёзно пострадать из-за уязвимостей в открытом коде, который они активно используют. Результаты нового исследования от Lineaje шокируют: почти 70% проектов с открытым исходным кодом заброшены или не поддерживаются. Это означает, что большинство популярных библиотек и компонентов, на которых основывается современный софт, уже вряд ли получат обновления или исправления. И да, эта статистика касается не просто старых или малоизвестных проектов, а тех, что активно используются в реальных продуктах.

По данным экспертов, почти 95% уязвимостей в приложениях — это проблемы с подключаемыми компонентами с открытым исходным кодом. Но это ещё не всё: в половине случаев, когда в системе обнаруживается уязвимость, исправить её невозможно, потому что для компонента нет патча. И это не только техническая проблема, но и серьёзный риск для безопасности.

Заброшенные проекты оказываются на удивление более безопасными, чем те, что находятся в активной разработке. Причина — частые обновления порой привносят новые ошибки, что в итоге делает их более уязвимыми. И если над проектом работают слишком маленькие или наоборот слишком большие команды, то тоже возрастает вероятность упустить серьёзные угрозы.

Всё это усугубляется ещё одной проблемой: в приложениях могут быть зависимыми до 60 слоёв разных библиотек с открытым исходным кодом. Подумайте, насколько сложно отслеживать, что происходит в таком «лего», и как легко можно пропустить уязвимость, которая через несколько месяцев или лет обернётся катастрофой.

Плюс ко всему, 15% компонентов с открытым исходным кодом имеют несколько версий, что делает их ещё более запутанными для разработчиков и специалистов по безопасности. И если кто-то думает, что всё это проблема только для небольших проектов — ошибается. Средний софт может подтянуть 1,4 миллиона строк кода, написанного на 139 языках, и многие из этих языков имеют известные проблемы с безопасностью.

Исследование также показало, что значительная часть открытых компонентов имеет американское происхождение — 34% от всего объёма. Однако и российские разработчики тоже не отстают: 13% всего кода — из России. Интересно, что анонимные разработчики из США составляют целых 20% от общего числа, тогда как у российских анонимов этот показатель в два раза ниже.