Η εταιρεία που παρέχει υπηρεσίες φιλοξενίας για την Maven Central Repository λέει ότι ένα στα δεκαέξι downloads είναι για ένα συστατικό Java που περιέχει ένα γνωστό ελάττωμα ασφαλείας.
Η Sonatype ισχυρίζεται ότι οι προγραμματιστές κατεβάζουν συνήθως 31 δισεκατομμύρια συστατικά Java ετησίως, με πάνω από 1.000 νέα συστατικά και πάνω από 10.000 νέες εκδόσεις συστατικών να δημιουργούνται καθημερινά.
Η Sonatype εκτιμά ότι μεταξύ 80 και 90 τοις εκατό των σημερινών κωδικών των επιχειρήσεων έχουν φτιαχτεί στην πραγματικότητα open source συστατικά, που εισάγονται από δημόσιες αποθήκες.
Επειδή τα τρωτά σημεία της ασφάλειας είναι δημόσια, και επειδή η Sonatype έχει πρόσβαση στα στατιστικά στοιχεία του server, είναι σε θέση – περισσότερο από οποιονδήποτε άλλο – να προειδοποιήσει τους προγραμματιστές για τους κινδύνους της χρήσης μη ασφαλή ή παλιών εξαρτημάτων στο εσωτερικό του κώδικα τους.
Η προειδοποίηση αυτή είναι δύο φορές πιο σημαντική για τις εταιρείες, δεδομένου ότι αν ένας εισβολέας θέτει σε κίνδυνο μια εφαρμογή που δημιουργήθηκε με τα ευάλωτα συστατικά, το αποτέλεσμα μπορεί να έχει μια βαθιά οικονομική επίπτωση.
Μετά από μια μελέτη 3000 οργανώσεων και πάνω από 25.000 εφαρμογές επιχειρήσεων από διάφορες βιομηχανίες, η Sonatype μας πληροφορεί ότι μια εταιρεία κατεβάζει περίπου 5.000 μοναδικά συστατικά κάθε χρόνο.
Όσο πιο παλιά είναι τα στοιχεία, τόσο μεγαλύτερη είναι η πιθανότητα να περιέχουν κάποιο πρόβλημα ευπάθειας της ασφαλείας. Ακόμα χειρότερα, το 97 % όλων αυτών των συστατικά δεν μπορούν να ελεγχθούν εύκολα.
Αν μια εταιρεία ήθελε να διορθώσει το 10 % από τα σφάλματα ασφάλειας στις 2.000 εφαρμογές, θα χρειαστεί έναν προϋπολογισμό ύψους 7.420.000 δολαρίων.
Τα ζητήματα αυτά εισάγουν την ανάγκη για τη διαχείριση της εφοδιαστικής αλυσίδας λογισμικού, προκειμένου να αποφευχθούν μελλοντικές ευπάθειες.
Η αφαίρεση των ευπαθών συστατικών θα πρέπει επίσης να αποτελέσει κορυφαία προτεραιότητα για τις κοινότητες πίσω από αυτά τα έργα.
