L’open source rappresenterebbe un pericolo per le imprese, perchè troppo poco sicuro. questo il monito che arriva dallo studio Fortify Open Source Security Study, e che pare sfatare il mito della maggiore sicurezza del software aperto rispetto a quello proprietario.
Secondo l’analisi comparata, la comunità di sviluppo open source non starebbe ancora adottando processi sicuri, tralasciando a volte pericolose vulnerabilità. In aggiunta a questa mancanza, sempre secondo quanto rilevato da Fortify, non verrebbe quasi mai fornito agli utenti la possibilità di contattare direttamente gli esperti di sicurezza, così da poter segnalare tali vulmnerabilità per contribuire a correggerle.
Sotto esame sono stati messi 11 pacchetti software: Tomcat, Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin e Struts.
Le imprese dovrebbero quindi verificare i software open source facendolo passare attraverso i propri processi interni di sicurezza, compiendo quindi tutte quelle attività di revisione del codice atte a determinarne il rischio. Il che implica un costo nascosto per le imprese nell’adozione dell’open source.
Almeno per quanto concerne le suite analizzate, il codice open non risulta più stabile e solido del software proprietario, come molte fonti autorevoli hanno spesso affermato.
Sarebbero stati rilevati nel complesso 22.826 problemi di cross-site scripting e 15.612 di SQL injection nei pacchetti esaminati, anche in differenti versioni degli stessi software. Inoltre sembra che i due terzi delle rispettive comunità di sviluppo abbiano ignorato le segnalazioni di tali falle.