Linux Foundation e Harvard: componenti opensource diffusissimi in azienda ma vulnerabili

In una sua recente ricerca Red Hat ha dimostrato come il software opensource sia oggi ampiamente utilizzato in ambito aziendale e un un altro studio ha evidenziato come l’utilizzo di codice aperto caratterizzi qualcosa come l’80-90% di tutti i software oggi disponibili.
L’utente finale può non esserne consapevole e non accorgersene perché molte applicazioni sono sviluppate a partire da componenti opensource che sono strettamente integrati con il programma stesso.

Oggi Linux Foundation (Core Infrastructure Initiative) e l’Università di Harvard (Laboratory for Innovation Science) hanno pubblicato un interessante studio che dimostra come in molti casi i componenti opensource che costituiscono la spina dorsale di molteplici software non vengano aggiornati lasciando professionisti e aziende in situazioni di rischio.

Nel testo della ricerca dal titolo “Vulnerabilities in the Core – Preliminary Report and Census II of Open Source Software“, consultabile cliccando qui, vengono indicati i componenti opensource più utilizzati in ambito business e le vulnerabilità di cui essi soffrono.

La mente non deve correre subito a progetti come Apache o MySQL: i software più utilizzati anche a livello enterprise condividono l’utilizzo di componenti opensource di più piccole dimensioni che però, se non aggiornati tempestivamente, possono esporre a vulnerabilità di vario genere arrivando a minare la riservatezza e l’integrità dei dati gestiti da ogni singola azienda.

Nel report si spiega che non sono i componenti opensource in sé a risultare problematici: a fare acqua sono in molti casi le modalità con cui i software sono gestiti dall’utenza e dagli stessi sviluppatori che tendono a non aggiornare le porzioni di codice che presentano vulnerabilità. Si pensi ad esempio alla ben nota vulnerabilità Heartbleed della quale abbiamo abbondantemente parlato in passato: il problema non riguardava ad esempio l’insieme di programmi OpenSSH quanto la libreria crittografica utilizzata a più basso livello ovvero OpenSSL.

Le falle più comunemente rilevate nei software usati in ambito business sono state individuate, grazie alla collaborazione con realtà quali Snyk e Synopsys Cybersecurity Research Center, in componenti JavaScript come async, inherits, isarray, kind-of, lodash, minimist, natives, qs, readable-stream e string_decoder oltre che in elementi non-JavaScript come com.fasterxml.jackson.core:jackson-core, com.fasterxml.jackson.core:jackson-databind, com.google.guava:guava, commons-codec, commons-io, httpcomponents-client, httpcomponents-core, logback-core, org.apache.commons:commons-lang3 e slf4j:slf4j.

Parlando del lavoro appena pubblicato, Jim Zemlin, direttore esecutivo della Linux Foundation, ha spiegato che si tratta soltanto dell’inizio: “il nostro rapporto inizia a fornire un primo inventario dei più importanti software condivisi e delle potenziali vulnerabilità insite all’interno di essi. È il primo passo per capire meglio come creare strumenti e standard che si traducano in fiducia e trasparenza nello sviluppo del software“.

Tim Mackey, uno dei principali esperti Synopsys Cybersecurity Research Center, ha aggiunto: “identificare i componenti FOSS (“Free and Open Source Software”) più diffusi negli ecosistemi software commerciali insieme con una chiara comprensione della loro gestione da parte delle comunità che ne curano sviluppo e manutenzione rappresenta un primo passo fondamentale. Le organizzazioni commerciali possono comunque fare la loro parte conducendo revisioni interne circa l’utilizzo del software opensource e impegnandosi attivamente con le comunità per contribuire a garantire sicurezza e longevità dei componenti in uso“.