Moderne Softwareentwicklung stütze sich häufig auf OSS-Bibliotheken, selbst bei Anwendungen, die kommerziell verkauft werden. Den Entwicklern sei aber nicht immer bewusst, wie diese Komponenten Schwachstellen in ihren Code bringen können, heisst es im Bericht "State of the Software Security, Open Source Edition".

Konkret würden 7 von 10 Applikationen mindestens eine Open-Source-Library mit einer Sicherheitslücke verwenden, so der Bericht, der vom Security-Unternehmen Veracode publiziert wurde.

"Die Angriffsfläche einer Anwendung ist nicht auf ihren eigenen Code und den Code explizit einbezogener Bibliotheken beschränkt, da diese Bibliotheken ihre eigenen Abhängigkeiten haben", so Chris Eng, Chief Research Officer von Veracode. Wenn Anwendungen immer komplexer werden, wachse die Anzahl der Abhängigkeiten, die der Entwickler verwalten müsse, ziemlich schnell.

Dies mache es für Entwickler schwierig, den Überblick zu behalten und sicherzustellen, dass immer die aktuellen Versionen von OSS-Bibliotheken verwendet werden. Entwickler könnten sich auch nicht einfach auf CVE-Nummern verlassen, um den Überblick über gefährdete Bibliotheken zu behalten, da nicht allen Schwachstellen CVEs zugewiesen werden. Mehr als 60% der gefährdeten Javascript-Bibliotheken haben laut Report Sicherheitsmängel ohne entsprechende CVE-Nummern.

Für den Bericht wurden die 85'000 Anwendungen der Veracode-Plattform untersucht, die 351'000 einzigartige externe Bibliotheken umfassen. Dabei wurden die Anwendungen analysiert, um festzustellen, wie die Bibliothek eingebunden wurde, um zu zeigen, wie es zu unbeabsichtigten Folgen für die Wartung des Codes kommen könnte.

Wie Veracode ausführt, verfügt jede Sprache über eine Reihe von Bibliotheken, die in einer Mehrzahl der Anwendungen verwendet werden: 

Die vollständige Auflistung nach Sprachen geordnet gibt es im Veracode-Report.  

Dies sei per se nicht schlecht, sofern die Bibliotheken sicher zu nutzen seien. Aber bereits die zweit- und drittbeliebtesten Javascript-Libraries würden bekannte Denial-of-Service-Schwachstellen aufweisen. Gleichzeitig aber halten die Autoren fest, dass, obwohl fast jede Anwendung einen von einer Bibliothek eingeführten Fehler aufwies, die Behebung dieses Fehlers einfach sei.

Die Ergebnisse von Veracode decken sich laut dem auf IT-Security spezialisierten Magazin 'Decipher' mit dem Open-Source-Sicherheitsbericht von Synopsys. Demnach enthalten 99% aller Codebasen mindestens etwas Open-Source-Code und 75% mindestens eine anfällige Open-Source-Komponente. Etwa 90% der Anwendungen nutzen mindestens eine OSS-Komponente, die um vier oder mehr Jahre veraltet ist.