E como existem muitos produtos de código aberto importantes, como ferramentas para desenvolvedores, pode ser difícil manter o controle de tudo o que o senhor usa. “O código aberto pode entrar nas bases de código de várias maneiras, não apenas por meio de fornecedores terceirizados e equipes de desenvolvimento externas, mas também por meio de desenvolvedores internos”, escreveram os autores. “Se uma organização não estiver ciente de todo o código-fonte aberto que está em uso, ela não poderá se defender contra ataques comuns que visam vulnerabilidades conhecidas nesses componentes e se exporá ao risco de conformidade de licenças.”
Por exemplo, o software de auditoria encontrou o Bootstrap, um kit de ferramentas de código aberto para desenvolvimento com HTML, CSS e JavaScript, em 40% dos aplicativos examinados, seguido pelo jQuery, com 36%. O uso do Lodash, uma biblioteca JavaScript que fornece funções utilitárias para tarefas de programação, também foi notável. “O Lodash apareceu como o componente de código aberto mais comum usado em aplicativos empregados por setores como saúde, IoT, Internet, marketing, comércio eletrônico e telecomunicações”, afirmou o relatório.
Isso significa que seus aplicativos de código aberto estão repletos de vulnerabilidades? Provavelmente não, se o senhor tem sido bom em manter seus sistemas corrigidos. Esse relatório está descobrindo que as pessoas não estão aplicando patches em seus sistemas; esse é o problema.
E elas estão deixando os problemas sem correção por anos. A Black Duck descobriu que a vulnerabilidade média tem seis anos, sendo que 4% das bases de código auditadas ainda contêm o Heartbleed, um exploit sobre o qual todos estavam falando há quatro anos.
Agora, a Black Duck ganha a vida vendendo software de auditoria, portanto, não deveria ser muito surpreendente ouvi-la tocar os sinos de alarme. Mas os fatos são teimosos. Ninguém deveria deixar um aplicativo sem correção por seis anos. Posso ver de onde vem essa atitude. Muitas pessoas têm essa noção de que o software de código aberto é algo que o senhor pode implementar e esquecer.
Durante muito tempo, a comunidade de software livre e de código aberto tinha a sensação de que seu software era inerentemente melhor porque seu código era de código aberto e todos podiam examiná-lo, portanto os bugs eram detectados mais cedo. O Heartbleed acabou com essa ideia, e essas descobertas certamente não confirmam essa noção.
