O número de projectos comerciais de software compostos por 50% ou mais de código aberto subiu de 3% em 2011 para 33%.
Conforme o código-fonte aberto se torna mais prevalente em aplicações comerciais e internas, o número de ataques baseados em suas vulnerabilidades aumentará em 20% em 2017, prevê a Black Duck Software. Segundo a empresa que recolhe estatísticas sobre projectos de open source o número de projectos comerciais de software compostos por 50% ou mais de software livre e de código aberto subiu de 3% em 2011 para 33% actualmente, revela Mike Pittenger, vice-presidente da organização.
Uma aplicação comercial média usa mais de 100 componentes de código aberto, acrescenta. E dois terços daquele tipo têm software com vulnerabilidades conhecidas.
Pior do que isso, muitas vezes não há maneira de os compradores de saberem quais são os componentes de código aberto no software adquirido. “Normalmente, os fornecedores não são muito abertos sobre isso”.
Quando disponibilizam aos clientes uma lista de componentes, geralmente está incompleta. “E se quando se rastreia um binário sem a permissão do fabricante, pode-se muito bem estar a violar o contrato de licença e desencadear uma série de problemas”, explica o responsável.
Alguns dos grandes compradores empresariais, no entanto têm o poder negocial para pedir aos fabricantes a divulgação completa e a verificação por terceiros, como o Black Duck. Mas evitar software de código aberto não é opção.
Muitas bibliotecas de código aberto são normas de facto da indústria, e escrever o mesmo código a partir do zero leva tempo. Como resultado, a tendência para fornecedores de software comercial usarem open source está a acelerar, diz Pittenger.
A mesma lógica aplica-se às empresas que fabricam software internamente, disse Ed Moyle, director de pesquisa na ISACA, organização global para profissionais de TI e de cibersegurança. A estratégia de confiar em que “muitos olhos”, da comunidade open source, verifiquem o código nem sempre funciona.
“Qualquer pessoa pode auditar o código, mas parece que toda a gente supõe que alguém o faça , e ninguém o faz”, aponta Javvad Malik, responsável de segurança na AlienVault. Segundo Pittinger, entre duas mil e quatro mil novas vulnerabilidades de código aberto são descobertas todos os anos. Corrigir o problema exigirá a acção de fornecedores de software e dos seus clientes, assim como sensibilização para os temas de segurança por parte dos programadores de software empresarial.
Mas é provável que a situação piore antes de começar a melhorar.