Фахівці компанії RiskSense опублікували звіт про уразливість у проєктах з відкритим кодом. Компанія виявила і вивчила 2694 проблем за період з 2015 по 2020 рік.
До цієї статистики не потрапили Linux, WordPress, Drupal та інші популярні безкоштовні рішення, оскільки увага до цих проєктів підвищена, інформація про серйозні вразливості регулярно потрапляє на сторінки ЗМІ, а значить, більшість проблем виправляються швидко.
В цілому було проаналізовано 54 проєкти з відкритим вихідним кодом. Виявилося, що кількість вразливостей в них подвоїлася у 2019 році. Якщо у 2018 році нарахували 421 недолік (у контексті безпеки), у 2019 році було знайдено вже 968 вразливостей.
За словами дослідників, однією з основних помічених ними проблем виявилась велика кількість вразливостей, інформація про які була передана до американської Національної бази (National Vulnerability Database, NVD) лише через декілька тижнів після публічного розкриття інформації. Більшість компаній-розробників використовують дані NVD для посилення безпеки, а якщо уразливість відсутня в базі, компанії відкриті для атак.
В середньому розробникам потрібно 54 дні, щоб інформація про уразливість потрапила до NVD. Однак розробники PostgreSQL затримують звіти місяцями, середній час — 8 місяців. На повідомлення про одну з вразливостей знадобилося 1817 днів.
Найбільшою популярністю у зловмисників користувалися проблеми в Jenkins і MySQL: в обох випадках хакери активно експлуатували по 15 різних багів. Однак якщо в інших опенсорсових проєктах було знайдено менше проблем, це ще не означає, що їм пощастило більше, а хакери менше зловживали їх уразливостями. Наприклад, це стосується вразливостей у Vagrant і Alfresco.