Veracode đã phát hành báo cáo State of Software Security report hàng năm lần thứ 11 những phát hiện của họ cho thấy các thư viện mã nguồn mở ngày càng không đáng tin cậy và mất nhiều thời gian để vá các lỗi này.
Báo cáo cho thấy có đến 76% ứng dụng có lỗi, trong đó 24% có lỗi được coi rất nghiêm trọng. Khoảng 70% ứng dụng bị ảnh hưởng các lỗi bảo mật từ thư viện mã nguồn mở, nhưng điều quan trọng cần lưu ý là chỉ có 30% ứng dụng sử dụng mã nguồn mở có nhiều lỗi bảo mật hơn so với các ứng dụng tự phát triển và như vậy không chỉ các thư viện mã nguồn mở là nguyên nhân.
Veracode cho biết các thư viện mã nguồn mở là nơi dễ bị tấn công do tính phổ biến của chúng ở khắp mọi nơi. Báo cáo cũng chỉ ra rằng không có mối tương quan giữa chất lượng của code phát triển nội bộ và lỗi mã nguồn mở, nhấn mạnh rằng các developer nên xác minh tính an toàn của các thư viện mã nguồn mở cho dù họ nghĩ mã của họ tốt đến mức nào.
Đối với các loại lỗi bảo mật được phát hiện, báo cáo cho biết kết quả phù hợp với các năm trước. Phần lớn, các loại lỗ hổng hàng đầu vẫn khá nhất quán trong những năm qua. Bản báo cáo năm ngoái cho thấy rằng rò rỉ thông tin, các vấn đề mật mã, chèn CRLF và các lỗ hổng chất lượng code là những loại lỗi phổ biến nhất được tìm thấy trong các ứng dụng. Trong kết quả khảo sát năm nay, ba ứng dụng hàng đầu đã không thay đổi và vị trí thứ ba là các vấn đề về cryptographic cũng được tìm thấy ở gần hai trong số ba ứng dụng có sai sót trong báo cáo này.
Veracode cũng phát hành bản đồ nhiệt (heatmap) về các lỗi tồi tệ nhất trong các ngôn ngữ lập trình phổ biến nhất. Điều thú vị là, ngôn ngữ ít sử dụng nhất trong các thư viện mã nguồn mở cũng là ngôn ngữ có nhiều lỗi nhất: PHP.
Nhìn vào bản đồ nhiệt, thật dễ dàng nhận ra ngôn ngữ nào trong số năm ngôn ngữ phổ biến được đưa vào có độ bảo mật kém nhất. Theo sau PHP là C ++, sau đó là Java, .Net, JavaScript và Python. Hai ngôn ngữ sau, hoạt động tốt hơn đáng kể so với đối thủ, với những sai sót tồi tệ nhất trong mỗi cái chỉ được tìm thấy trong khoảng 30% ứng dụng. So với PHP với 74,6% ứng dụng của nó dễ bị tấn công bởi tập lệnh trên nhiều trang web, thì JavaScript và Python có bảo mật tốt hơn.
