Açık kaynak yazılım kullanan firmalar ciddi bir risk altında çünkü çoğunlukla açık kaynak topluluğu minimum güvenlik pratiklerini katmayı başaramıyor. Fortify Software tarafından yapılan bir çalışma bunu gösteriyor. 11 açık kaynak yazılım paketinin incelendiği bu çalışmada açık kaynak topluluklarının her birinin güvenlik meselelerine olan yaklaşımları da takip edildi. Amaç her bir açık kaynak yazılım paketi topluluğunun güvenlik sorunlarına ya da bulunan açıklara yeterince yanıt verip vermediğini ortaya çıkarmaktı. Bu çalışmada ayrıca güvenlik rehberlerinin yayınlanıp yayınlanmadığı ve güvenli bir geliştirme sürecinin yönetilip yönetilmediği de araştırıldı.
Çalışmada en iyi değerlendirmeyi uygulama sunucusu Tomcat aldı. Diğer 10 açık kaynak uygulama, araç ve veritabanı paketleri (Derby, Geronimo, Hibernate, Hipergate, JBoss, Jonas, OFBiz, OpenCMS, Resin ve Struts) sönük kaldı. Fortify’dan Jacob West, yazılımlarını ücretsiz olarak sunan açık kaynak toplulukları, genellikle güvenlik pratiklerine ticari rakipleri kadar önem vermiyor gözüküyorlar, şeklinde konuştu. Fortify, inceledikleri 11 açık kaynak yazılım paketinin birden fazla versiyonuyla bağlantılı 22,826 cross-site scripting (XSS) ve 15,612 SQL enjeksiyon sorunu buldu.
Ancak açık kaynak yazılım topluluklarına çeşitli yollarla ulaşmayı deneyen Fortify, bunlardan üçte ikisinden yanıt dahi alamadı. “Telefon numaraları yok. Kimden bilgi isteyeceksiniz? Bu insanların kim olduğunu söylemek zor,” şeklinde konuşuyor West. Açık kaynak paketleri sıklıkla kurumsal sınıf yeteneklere sahip olduklarını söylüyor ancak endüstrinin en iyi uygulamalarını benimsemiyor (hatta dikkate bile almıyor). Sadece birkaç açık kaynak yazılım geliştirme ekibi doğru yönde ilerliyor. Sonuç olarak firmalar açık kaynak paketlerini kendi başlarına iyileştirmeyi göze almalı.