Open source smokkelt gemiddeld per applicatie 24 bugs binnen

Softwareontwikkelaars hebben er nog steeds een handje van lekke opensourcecomponenten uit de Central Repository te downloaden. Beheerder Sonatype waarschuwt organisaties wederom voor de risico’s van slecht versiebeheer bij gebruik van deze bibliotheek.

De Central Repository bevat inmiddels 217.000 componenten, waarvan opgeteld 830.000 versies aanwezig zijn. Daar werd in 2014 door meer dan 100.000 organisaties gebruik van gemaakt. Bij elkaar downloadden deze organisaties vorig jaar 17,2 miljard maal een component, meldt IT World.

6 procent van de gedownloade componenten bevatte een bekend lek, stelde Sonatype vast. Dat betekent dat ruim een miljoen lekke componenten zijn gedownload. Dat is een forse toename ten opzichte van 2012. Toen schatte Sonatype het aantal downloads van lekke componenten op 680.000.

Sonatype heeft ook een poging gedaan om te inventariseren wat dat betekent. Daartoe onderzocht het 1500 applicaties; die bleken gemiddeld 24 lekken meegekregen te hebben door lekken in gedownloade component(en). Ook softwareleveranciers en financiële instellingen gaan in de fout, overigens. Bij een aparte analyse van grotere softwareleveranciers en financiële instellingen bleken deze gemiddeld in 7,5 procent van de gevallen een lekke component te downloaden.

Waarom organisaties componenten downloaden waarvan bekend is dat er een lek in schuilt, is niet duidelijk. Veelal kiezen ontwikkelaars voor een component die ze al kennen en waarvan ze weten dat die past binnen ‘hun’ infrastructuur, is de veronderstelling Het probleem is ook niet in alle gevallen inzichtelijk. Nogal wat software die in de bibliotheek wordt gezet, gebruikt componenten van derden die zelf al lek kunnen zijn of raken. De ontwikkelaars die de betreffende module in de bibliotheek zetten, zijn daar ook niet altijd alert op. Dergelijke geïmporteerde lekken worden slechts in 41 procent van de gevallen gedicht, en het duurt gemiddeld 390 dagen – dus meer dan een jaar – voordat die reparatie is aangebracht.

Sonatype heeft zelf geen verantwoordelijkheid voor de slordigheid waarmee afnemers en sommige contribuanten omgaan met de kwaliteit van de code. Die taak valt toe aan de opensourcegemeenschappen zelf. Maar Sonatype vindt wel dat het zo niet langer kan. Het dringt er bij alle betrokkenen op aan het versiebeheer te verbeteren en ook beter in kaart te brengen uit welke componenten applicaties samengesteld zijn. Dat is geen onontgonnen terrein waarop pionierswerk verricht moet worden, merkt Sonatype op. In andere sectoren is het gebruik van stuklijsten en registratie van de leveringsketen heel gebruikelijk. De daarvoor beschikbare oplossingen zouden heel eenvoudig overgezet moeten kunnen worden naar de softwaresector.