A maioria das empresas demora para corrigir as falhas do software de código aberto

Uma nova pesquisa descobriu que não apenas a maioria das bases de código aberto auditadas tem vulnerabilidades de segurança, mas também que as empresas levam semanas para aplicar patches para isolá-las.
As descobertas, parte de uma pesquisa realizada pelo Synopsys Cybersecurity Research Center (CyRC), são ainda mais chocantes considerando que já leva vários anos para a maioria das vulnerabilidades de segurança ser totalmente divulgada.
A pesquisa relata que 51% dos entrevistados disseram que leva de duas a três semanas para aplicar um patch de código aberto. Pior ainda, com 24%, um número menor, mas significativo, de entrevistados leva até um mês, mesmo quando o patch aborda um problema crítico.
Frouxidão na correção
O relatório entrevistou 1.500 profissionais de TI que trabalham em segurança cibernética, desenvolvimento de software, engenharia de software e desenvolvimento da web em vários países.
Ele agiu como uma continuação do relatório de Análise de Risco e Segurança de Código Aberto (OSSRA) de 2020 – que descobriu que 75% das bases de código examinadas continham componentes de código aberto com vulnerabilidades de segurança conhecidas.
“Está claro que as vulnerabilidades não corrigidas são uma fonte importante de problemas para o desenvolvedor e, em última análise, de risco para os negócios”, disse Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center.
Executando código desatualizado
A pesquisa também encontrou descoberta generalizada de componentes de código aberto desatualizados ou abandonados em código comercial.
Um número surpreendente de 91% das bases de código auditadas continham componentes de código aberto que estavam mais de quatro anos desatualizados ou não tiveram nenhuma atividade de desenvolvimento nos últimos dois anos.
“Isso provavelmente está relacionado ao fato de que apenas 38% estão usando uma ferramenta de análise de composição de software (SCA) automatizada para identificar quais componentes de código aberto estão em uso e quando as atualizações são lançadas”, observa Mackey.
Considerando que apenas cerca de 47% dos entrevistados disseram que definiram padrões em torno da era dos componentes de código aberto que usam, Mackey levantou a hipótese de que as outras organizações provavelmente estão empregando processos manuais para gerenciar o código aberto.