قبل بضعة أيام Veracode (شركة أمن تطبيقات) كشف النقاب عبر منشور مدونة ، دراسة عن المشاكل الأمنية الناجمة عن دمج المكتبات مفتوحة المصدر في التطبيقات.
نتيجة لمسح 86 مستودع ودراسة استقصائية لما يقرب من 79 مطور ، تم تحديد أن XNUMX٪ من مشاريع مكتبة الجهات الخارجية التي تم نقلها إلى الكود لا يتم تحديثها أبدًا لاحقًا.
Veracode يشير في دراستهأو أن المشكلة الرئيسية المرتبطة بمشاكل الأمان في التطبيقات التي استخدام مكتبات مفتوحة المصدر هو ذلك بدلاً من ربطها ديناميكيًا، العديد من الشركات أنها تشمل فقط المكتبات الضرورية في مشاريعك ، دون مراعاة التحديثات أو الحلول الممكنة للأخطاء الموجودة لاحقًا في هذه المكتبات.
في الوقت نفسه ، يلاحظ أن كود المكتبة القديم يسبب مشاكل أمنية وأنه في هذه الدراسة يظهر أنه يمكن تجنب حوالي 92٪ من الحالات ببساطة عن طريق تحديث كود المكتبة.
ننشر اليوم الإصدار مفتوح المصدر لتقريرنا السنوي عن حالة أمان البرامج. يركز التقرير حصريًا على أمان المكتبات مفتوحة المصدر ، ويتضمن تحليلًا لـ 13 مليون عملية مسح ضوئي من أكثر من 86.000 مستودع ، تحتوي على أكثر من 301.000 مكتبة فريدة.
في تقرير إصدار العام الماضي مفتوح المصدر ، ألقينا نظرة سريعة على استخدام وأمن المكتبات مفتوحة المصدر. هذا العام ، ذهبنا إلى أبعد من لقطة في الوقت المناسب لفحص ديناميكيات تطوير المكتبة وكيف يتفاعل المطورون مع تغييرات المكتبة ، بما في ذلك اكتشاف الأخطاء.
إلى جانب ذلك الأعذار بأن المكتبات لا يتم تحديثها ، حان وقته إلى فشل التوافق المحتمل التي لا أساس لها في الغالب. في مواجهة هذه الأنواع من الأعذار أثبت فيراكود عكس ذلك في دراستهم أن حوالي 69٪ من الحالات التي تمت دراستها ، قال تم إصلاح نقاط الضعف في إصدارات التصحيح التي لم تكن مرتبطة بالتغييرات في الوظائف.
يكشف التقرير أنه في حين أن المكتبات مفتوحة المصدر هي أساس جميع البرامج تقريبًا ، إلا أنها ليست أساسًا متينًا ، بل أساسًا يتطور ويتغير باستمرار. ومع ذلك ، لا تتكيف ممارسات التطوير دائمًا مع الطبيعة الديناميكية لهذه المكتبات ، مما يترك المنظمات مكشوفة.
أيضا يذكر أن التأثير يحدث أيضًا من خلال إبلاغ المطورين بشأن ظهور نقاط الضعف: sتم إخطار المطورين مشكلة في المكتبة ، في 17٪ من الحالات تم حل المشكلة في ساعة و 25٪ في أسبوع.
إذا كانت هناك معلومات حول كيف يمكن أن تؤدي ثغرة أمنية في المكتبة إلى اختراق أحد التطبيقات ، ففي 50٪ من الحالات تم إصدار التصحيح في غضون ثلاثة أسابيع ، وبدون تقديم معلومات ، يجب أن تنتظر إزالة الثغرة الأمنية 7 أشهر أو أكثر.
جزء ربع من المطورين الذين شملهم الاستطلاع قالوا ذلك عند اختيار مكتبة لتضمين، ينصب التركيز الرئيسي على الوظائف وتراخيص الكود ، وعندها فقط يتم اعتبار الأمان.
نلقي نظرة على المكتبات الأكثر شيوعًا في 2019 مقابل 2020 ، بالإضافة إلى المكتبات الأكثر شيوعًا ذات الثغرات الأمنية المعروفة في 2019 مقابل 2020. خلاصة القول: يمكنك إضافة استخدام مكتبات مفتوحة المصدر إلى قائمة الأشياء التي تغيرت بشكل كبير في 2020. ما هو ساخن وما ليس كذلك ، وما هو آمن وغير آمن ، يتغير بسرعة.
وتجدر الإشارة إلى أن الوضع مع التحقق من ترخيص الكود ليس أفضل: أقر 54٪ من المستجيبين أنهم لا يتحققون دائمًا من ترخيص كود المكتبة قبل دمجه في منتجهم. فقط 27٪ من المستجيبين يمارسون التحقق الإلزامي من توافق الترخيص.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عن الدراسة التي أجرتها Veracode ، فيمكنك الرجوع إلى التفاصيل في الرابط التالي.
من الشائع وضع مكتبة على نظام الملفات المحلي بدلاً من الارتباط ، حيث في بعض الأحيان يتغير الارتباط ويفقد وظائفه.