Il software open-source è un software il cui codice sorgente è pubblicamente disponibile affinché chiunque possa usarlo, ispezionarlo, modificarlo e redistribuirlo in base alla sua licenza. Nel lavoro di sicurezza, questa apertura è un punto di forza perché i difensori possono esaminare il codice, individuare dipendenze deboli e condividere correzioni in un ampio ecosistema. Significa anche che un singolo difetto può colpire molti prodotti che riutilizzano la stessa libreria o componente.
Nelle attacchi reali, gli avversari spesso cercano vulnerabilità OSS non corrette in pacchetti popolari, strumenti di build o componenti dell'infrastruttura, quindi sfruttano i sistemi downstream che dipendono da essi. In difesa, i team usano la classificazione delle vulnerabilità, la divulgazione coordinata e formati di avviso come i record CVE o OSV per trasformare rapidamente i risultati in patch o mitigazioni temporanee. La sicurezza dell'OSS dipende quindi non solo dalla qualità del codice, ma anche da quanto velocemente manutentori, ricercatori e utenti riescono a coordinare la risposta prima che gli aggressori approfittino del software esposto.



