Att det är smidigt att använda öppen mjukvara är något som många upptäckt. Ett populärt sätt är att använda öppna komponenter i annars proprietära applikationer. Enligt säkerhetsföretaget Black Duck Software, numera en del av Synopsys, används öppna komponenter i 96 procent av alla proprietära applikationer.

I genomsnitt används hela 147 olika öppna komponenter i en applikation. Mest uppseendeväckande ur säkerhetssynpunkt är att 67 procent av alla applikationer använder komponenter som har kända sårbarheter. Det skriver CSO.

Läs också: FBI hänger inte med i utvecklingen – vädjar om bakdörrar

Att det finns gott om sårbarheter råder det knappast några tvivel om. Enligt Synopsys analystjänst Coverity finns det 1,1 miljoner defekter, varav 650 000 har adresserats. Den analysen har gjorts efter att 750 miljoner rader öppen kod har skannats. Och det är bara en liten del av all öppen kod som finns. Enligt The Linux Foundation har 31 miljarder rader kod levererats till öppna projekt.

Givet den här lägesbeskrivningen kan man tycka att det borde vara självklart att undersöka de komponenter som används i applikationer. Men det görs inte så ofta. Enligt en rapport från säkerhetsföretaget Veracode är det bara 28 procent av de företag som använder externa komponenter som analyserar komponenterna.

Och utvecklarna av öppen mjukvara slarvar också. Enligt Snyk, ett säkerhetsaföretag som är specialiserat på öppen mjukvara, så har 44 procent av alla utvecklare av öppen mjukvara aldrig gjort någon säkerhetsanalys (security audit) av koden.

Läs också: Teknisk skuld svår utmaning för agila team

Slutsatsen av alla de här rapporterna är ganska given: både utvecklare och användare av öppen mjukvara behöver anstränga sig mer vad gäller säkerhet. Men det är förstås en slutsats som gäller även för proprietär mjukvara.