برای تهیه این گزارش که عنوان «واقعیت تاریک دنیای متن باز» را یدک میکشد، شرکت از اطلاعات ۵۴ پروژه متن باز از سال ۲۰۱۵ تا فصل اول ۲۰۲۰ استفاده کرده که نتیجه آن، کشف ۲۶۹۴ مورد آسیبپذیری یا تهدید امنیتی منحصر به فرد (CVE) بوده است.
بر اساس این تحقیق، تعداد آسیبپذیریها در نرم افزارهای متن باز در سال گذشته به ۹۶۸ مورد رسیده که افزایشی چشمگیری را نسبت به ۴۲۱ آسیبپذیری در سال ۲۰۱۸ تجربه کرده است. مدیرعامل این شرکت امنیتی، «Srinivas Mukkamala» اطلاعات بیشتری پیرامون این گزارش به اشتراک گذاشته است:
«در حالی که اغلب مواقع امنیت کد متن باز بالاتر از نرم افزارهای تجاری درنظر گرفته میشود، تحقیق اخیر نشان میدهد که تعداد آسیبپذیریها در این نرم افزارها افزایش چشمگیری داشته و میتواند برای بسیاری از سازمانها به عنوان نقطه کور تلقی شود. از آنجایی که نرم افزارهای متن باز به صورت روزانه مورد استفاده قرار میگیرند، زمانی که آسیبپذیریها کشف میشوند، میتوانند عواقب بسیار سنگینی داشته باشند.»
در تحقیق شرکت RiskSense به زمان موردنیاز برای اضافه شدن آسیبپذیریهای این نرم افزارها به «دیتابیس ملی آسیبپذیری» (NVD) نیز اشاره شده. بطور میانگین از زمان اعلام عمومی آسیبپذیری تا اضافه شدن آن به این دیتابیس، ۵۴ روز طول میکشد.
این تاخیر عواقب جدی برای کسب و کارها دارد چرا که آنها تقریبا دو ماه در معرض ریسکهای امنیتی قرار دارند. این تاخیر درباره تمام آسیبپذیریها حتی آنهایی که بسیار خطرناک درنظر گرفته میشوند نیز وجود دارد.
در میان پروژههای متن باز مورد تحلیل در این گزارش، سرور اتوماسیون «جنکینز» حاوی بیشترین CVE بوده است. این سرور با ۶۴۶ آسیبپذیری در صدر قرار گرفته و پس از آن، MySQL با تعداد ۶۲۴ آسیبپذیری حضور دارد. استفاده از برنامههای متن باز فواید زیادی دارند، با این حال گزارش جدید نشان میدهد که مدیریت آسیبپذیریها در کتابخانهها میتواند چالشهای منحصر به فردی برای کسب و کارها و توسعهدهندگان ایجاد کند.