close
close
Leiden

‘Zombiecode’ leidt zonder patches tot langdurige kwetsbaarheden

Posted on by george

Verouderde stukjes code in codebases, ook wel ‘zombiecode’ genoemd, kunnen leiden tot niet-gepatchte kwetsbaarheden die lange tijd onopgelost blijven. Dit concludeert Synopsys in een recent onderzoek.

In hun open source beveiligings- en risicoanalyseonderzoek wijzen de onderzoekers van Synopsys erop dat de zogenaamde “zombiecode” een groeiend probleem wordt voor de beveiliging van codebases. Omdat veel van deze verouderde code achterblijft, lopen ze het risico dat er op de lange termijn ongepatchte kwetsbaarheden achterblijven, terwijl deze al lang geleden opgelost hadden moeten zijn.

De meeste codebases bevatten zombiecode.

Concreet vonden de onderzoekers zombiecode in 91 procent van de onderzochte codebases. Dit waren componenten die minstens tien versies van deze code hadden.

Bovendien vond bijna de helft van de codebases delen van de code die de afgelopen twee jaar niet waren bijgewerkt. Ook de leeftijd van de open source kwetsbaarheden die in de onderzochte codebases werden aangetroffen, was gemiddeld 2,5 jaar. Een kwart van de codebases had een kwetsbaarheid die meer dan tien jaar oud was.

Van de tien kwetsbaarheden die in de codebases zijn aangetroffen, kunnen er acht worden toegeschreven aan één type kwetsbaarheid: onvoldoende neutralisatie.

De veiligheid zal in 2023 verslechteren

Onderzoekers zeggen dat de veiligheid van codebases in 2023 verder zal zijn verslechterd. Vorig jaar had 74 procent van alle codebases een kwetsbaarheid met een hoog risico. In 2022 was dit nog 48 procent.

Volgens de onderzoekers van Synopsys is een belangrijke reden voor deze toename van het percentage kwetsbaarheden met een hoog risico de talrijke ontslagen onder technologiemedewerkers, vooral ontwikkelaars die deze specifieke codeproblemen kunnen oplossen.

Een grafiek die het percentage mensen laat zien dat sociale netwerken gebruikt.

Slecht open source-licentiebeleid.

Een ander geïdentificeerd probleem dat kwetsbaarheden in zombiecode kan veroorzaken, is dat bedrijven vaak problemen hebben met open source-licenties en compliance. Ongeveer 53 procent van de ondervraagde codebases zou problemen hebben met open source-licenties en 31 procent heeft geen licentie of aangepaste licenties.

Lees ook: 28.500 kwetsbare Microsoft Exchange-servers


Leave a Reply

Your email address will not be published. Required fields are marked *