I samband med ett främträdande under QCon Plus konstaterade David Wheeler, director of Open Source Supply Chain Security vid Linux Foundation att ”mjukvara är under attack”.

Som stöd i detta refererade han till en ny Synopsys-undersökning från 2021 som visar att det idag finns i snitt 528 öppna källkods-komponenter per applikation, att 84 procent av kodbaserna har åtminstone en sårbarhet och att det genomsnittliga antalet sårbarheter i en kodbas är 158, rapporterar The Register.

Enligt David Wheeler är automatiserad testning och snabba säkerhetsuppdateringar nu kritiska för att försvara mjukvara i öppen källkod från sårbarheter. En stor del av problemet är att sårbar mjukvara inte uppdateras tillräckligt snabbt.

– En cio avgör inte hur snabbt du behöver reparera något. Din process avgör inte heller. Den person som avgör när du behöva fixa något är anfallaren, säger David Wheeler och fortsätter.

– Jag kör ett projekt där vi generellt uppdaterar till produktion på en dag och vi försöker göra det på en timme. Du måste röra dig snabbare än anfallaren... Jag förstår att det är svårt för många organisationer: Du måste svara och driftsätta snabbare än anfallaren kan utnyttja... Tiden går och den mäts inte i månader.

David Wheeler medger samtidigt att även om problemet är tydligt är situationen inte enkel att lösa. Han uppmanar i vilket fall utvecklare att lära sig utveckla och skaffa säkerhetsmjukvara, samt att vara försiktiga gällande användningen av mjukvara som inte får mycket användning.

– Finns det inte användare kommer den förmodligen inte få några granskare. Ingen användning är ett problem.

