واقعیت تاریک دنیای متن باز؛ تعداد آسیب‌پذیری‌ها بیش از ۲ برابر شده است

تحقیق جدید شرکت «RiskSense» نشان می‌دهد که تعداد آسیب‌پذیری‌های نرم افزارهای متن باز نسبت به سال گذشته میلادی، بیش از دو برابر شده است.

برای تهیه این گزارش که عنوان «واقعیت تاریک دنیای متن باز» را یدک می‌کشد، شرکت از اطلاعات 54 پروژه متن باز از سال 2015 تا فصل اول 2020 استفاده کرده که نتیجه آن، کشف 2694 مورد آسیب‌پذیری یا تهدید امنیتی منحصر به فرد (CVE) بوده است.

بر اساس این تحقیق، تعداد آسیب‌پذیری‌ها در نرم افزارهای متن باز در سال گذشته به 968 مورد رسیده که افزایشی چشمگیری را نسبت به 421 آسیب‌پذیری در سال 2018 تجربه کرده است. مدیرعامل این شرکت امنیتی، «Srinivas Mukkamala» اطلاعات بیشتری پیرامون این گزارش به اشتراک گذاشته است:

«در حالی که اغلب مواقع امنیت کد متن باز بالاتر از نرم افزارهای تجاری درنظر گرفته می‌شود، تحقیق اخیر نشان می‌دهد که تعداد آسیب‌پذیری‌ها در این نرم افزارها افزایش چشمگیری داشته و می‌تواند برای بسیاری از سازمان‌ها به عنوان نقطه کور تلقی شود. از آنجایی که نرم افزارهای متن باز به صورت روزانه مورد استفاده قرار می‌گیرند، زمانی که آسیب‌پذیری‌ها کشف می‌شوند، می‌توانند عواقب بسیار سنگینی داشته باشند.‌»

در تحقیق شرکت RiskSense به زمان موردنیاز برای اضافه شدن آسیب‌پذیری‌های این نرم افزارها به «دیتابیس ملی آسیب‌پذیری» (NVD) نیز اشاره شده. بطور میانگین از زمان اعلام عمومی آسیب‌پذیری تا اضافه شدن آن به این دیتابیس، 54 روز طول می‌کشد.

این تاخیر عواقب جدی برای کسب و کارها دارد چرا که آن‌ها تقریبا دو ماه در معرض ریسک‌های امنیتی قرار دارند. این تاخیر درباره تمام آسیب‌پذیری‌ها حتی آن‌هایی که بسیار خطرناک درنظر گرفته می‌شوند نیز وجود دارد.

در میان پروژه‌های متن باز مورد تحلیل در این گزارش، سرور اتوماسیون «جنکینز» حاوی بیشترین CVE بوده است. این سرور با 646 آسیب‌پذیری در صدر قرار گرفته و پس از آن، MySQL با تعداد 624 آسیب‌پذیری حضور دارد. استفاده از برنامه‌های متن باز فواید زیادی دارند، با این حال گزارش جدید نشان می‌دهد که مدیریت آسیب‌پذیری‌ها در کتابخانه‌ها می‌تواند چالش‌های منحصر به فردی برای کسب و کارها و توسعه‌دهندگان ایجاد کند.