Secondo i dati riportati nel report intitolato "The Dark Reality of Open Source" di RiskSense le vulnerabilità presenti nei software Open Source avrebbero registrato un incremento rilevante nel corso degli ultimi anni. Nei 54 progetti monitorati nel 2019 sarebbero stati individuati 968 bug contro i 421 del 2018, parliamo quindi di un aumento di oltre il 100% in un anno.
La rilevazione non ha coinvolto applicazioni particolarmente diffuse come per esempio il Kernel Linux o il CMS WordPress, questo perché di tratta di soluzioni che possono contare su delle community di sviluppatori e utilizzatori particolarmente ampie che garantiscono un controllo costante sulla qualità del codice e interventi correttivi tempestivi.
Sotto la lente d’ingrandimento dei ricercatori sono finiti invece progetti liberi e aperti mediamente diffusi tra cui il DBMS orientato agli oggetti MongoDB, il Java automation server Jenkins, l’analytics engine distribuito Elasticsearch, il Big Data processor Apache Spark, la DevOps platform GitLab e un’insfrastruttura per l’automation e il delivery come Puppet.
Tra i software maggiormente buggati vi sarebbero il già citato Jenkins e il Database Manager MySQL che nel corso delll’ultimo quinquennio avrebbero rivelato rispettivamente 646 e 624 problematiche di sicurezza, di queste ultime almento una trentina equamente suddivise sarebbero state sfruttate da utenti malintenzionati per effettuare degli attacchi.
Tra le altre criticità registrate sarebbe stato segnalato un certo ritardo nella registrazione dei bug all’interno dell’NVD (National Vulnerability Database), mediamente esso verrebbe aggiornato 54 giorni dopo la scoperta di un bug, ma nel caso di un DBMS relazionale abbastanza noto come PostgreSQL in un episodio il ritardo sarebbe stato di addirittura 246 giorni.
