
Téměř tři čtvrtiny programů pro mobily i desktopy obsahují minimálně jednu bezpečnostní chybu, která je přítomna v použitých open-source knihovnách, tvrdí Veracode ve své pravidelné zprávě o stavu zabezpečení.
Experti z Veracode dodávají, že téměř všechny současné aplikace používají ke svému běhu nějaké open-source knihovny právě proto, že nemusejí danou funkcionalitu vyvíjet sami, ale důsledkem je ona přítomnost chyb. Analyzovali přitom více než 85 tisíc programů a souvisejících importovaných knihoven, tedy celkově 351 tisíc kombinací unikátních externích knihoven.
Ve zprávě se hovoří například o JavaScriptových aplikacích, které často používají stovky různých knihoven, některé i více než 1 tisíc. Většina jazyků pak používá stejnou sadu základních knihoven, zejména právě JavaScript či PHP, a ty jsou pak přítomny v každé napsané aplikaci.
Většina nalezených chyb se nachází v produktech jako Swift, .NET, Go a PHP knihovnách. Dopad chyb se samozřejmě liší. Nejčastější typem zranitelnosti je cross-site scripting (XSS), obsažený ve zhruba třetině knihoven. Oprava přitom většinou není náročná, stačí menší zásah a vydání nové minoritní verze dané knihovny.