Форум StopLinux

Совместное исследование проведённое Sonatype и Aspect Security обнаружило, что многие свободные компоненты, библиотеки безопастности и веб-фреймворки содержат уязвимости, и что многие компании из списка Fortune 500 создают и используют приложения основанные на этих компонентах.

Больше половины крупнейших мировых компаний используют СПО с уязвимостями безопастности.

Это связанно с тем, что больше 80% приложений созданных штатными разработчиками включают свободные компоненты, в которых могут присутствовать уязвимости.

В обзоре, составленном на основе опроса 2 550 разработчиков, утверждается, что широко распространённая точка зрения на то, что СПО в основном высокого качества, не принимает во внимание "недостатки экосистемы", в основном, нехватку систем оповещения разработчиков о уязвимостях и новых версиях компонентов устраняющих их.

Из отчёта также следует, что 37% версий самых популярных 31 компонентов содержат CVE или OSVDB уязвимости, и что вероятность обнаружения уязвимости в популярном компоненте, только на 10% ниже чем в менее популярном компоненте.

Оригинал тута:

Study: More than 50% of Global 500 use vulnerable open source components