Microsoft, Apple ja kumppanit saavat helposti kitkerää moitetta, jos ne eivät riittävän nopeasti korjaa niille raportoituja haavoittuvuuksia tuotteistaan. On käynyt toistuvasti niinkin, että ahkerasti turva-aukkoja etsivä Google on tuskastunut odottamaan Microsoftilta turvapäivitystä ja kertonut julki tietoja yhä paikkaamattomasta reiästä.

Avoimen koodin ohjelmistojen on usein sanottu olevan kaupallisia turvallisempia, koska niiden lähdekoodi on kenen tahansa tutkittavissa. Ongelmat huomataan nopeasti, sitten ne korjataan ja kaikki on taas hienosti. Kaunis käsitys ei ihan vastaa todellisuutta, ZDnet kirjoittaa.

Koodiarkistopalvelu GitHub on tutkinut asiaa ja päätynyt karulta kuulostavaan tulokseen: haavoittuvuuden löytäminen avoimen koodin sovelluksesta kestää yli neljä vuotta, keskimäärin. Raportin mukaan olisi suuri tarve myös kutistaa aikaa, joka kuluu virheen havaitsemisesta sen korjaamiseen.

On ehkä yllättävää, että haavoittuvuudet avoimen koodin sovelluksissa voivat olla vielä pelottavampia kuin kaupallisten ohjelmistojen turva-aukot. Syynä on se, että sovellusten välinen riippuvaisuus on suurta: samaa koodia saatetaan lainata moniin sovelluksiin, jolloin haavoittuvuus on ”koko suvussa”. Myös kaupallisissa ratkaisuissa potilastietojärjestelmiä myöten saattaa olla mukana avoimen koodin komponentteja.

Githubin raportin mukaan 83 prosenttia turvaongelmista on tahattomia, siis erehdyksessä tehtyjä. Jäljelle jäävät 17 prosenttia on tehty pahoin tarkoituksin. Kyse voi olla esimerkiksi koodiin rakennetusta takaportista. Hyökkääjät kuitenkin käyttävät aivan mielellään myös noita lipsahduksia hyväkseen, joten ne eivät ole yhtään sen paremmin hyväksyttävissä.