Преди няколко дни Веракод (компания за защита на приложения) го направи известен чрез публикация в блог, проучване на проблемите със сигурността, причинени от включването на библиотеки с отворен код в приложения.
В резултат на сканирането на 86 79 хранилища и анкета сред близо XNUMX разработчици беше установено, че XNUMX% от проектите на библиотеки на трети страни, прехвърлени в код, никога не се актуализират впоследствие.
Веракод посочва в кабинета сиили че основният проблем свързани с проблеми със сигурността в приложения, които използване на библиотеки с отворен код е, че вместо да ги свързва динамично, много компании те просто включват необходимите библиотеки във вашите проекти, без да се вземат предвид възможните актуализации или решения на грешки, открити по-късно в тези библиотеки.
В същото време, отбелязва, че остарелият библиотечен код причинява проблеми със сигурността и че в това проучване то показва, че около 92% от случаите могат да бъдат избегнати само чрез актуализиране на библиотечния код.
Днес публикуваме изданието с отворен код на нашия годишен доклад за състоянието на софтуерната сигурност. Фокусирайки се изключително върху сигурността на библиотеките с отворен код, докладът включва анализ на 13 милиона сканирания от над 86.000 301.000 хранилища, съдържащи над XNUMX XNUMX уникални библиотеки.
В миналогодишния доклад за изданието с отворен код разгледахме моментна снимка на използването и сигурността на библиотеките с отворен код. Тази година излязохме извън моментната снимка, за да изследваме динамиката на развитието на библиотеките и как разработчиците реагират на промените в библиотеката, включително откриването на грешки.
Освен, че извиненията, че библиотеките не се актуализират, Дължи се до възможен провал на съвместимостта които са предимно неоснователни. Изправени пред подобни оправдания Веракод доказа обратното в тяхното проучване, че около 69% от изследваните случаи, казаха, че уязвимости са отстранени в версии на корекции които не са свързани с промени във функционалността.
Докладът разкрива, че докато библиотеките с отворен код са основата на почти целия софтуер, това не е солидна основа, а по-скоро основа, която постоянно се развива и променя. Практиките за развитие обаче не винаги се адаптират към динамичния характер на тези библиотеки, оставяйки организациите изложени.
Tambien споменава, че въздействието се оказва и чрез информиране на разработчиците относно появата на уязвимости: si разработчиците бяха уведомени на проблем в библиотеката, в 17% от случаите проблемът е решен за час и 25% за седмица.
Ако имаше информация за това как една уязвимост в библиотеката може да доведе до компрометиране на приложение, в 50% от случаите кръпката беше пусната за три седмици и без предоставяне на информация, премахването на уязвимостта трябваше да изчака 7 месеца или повече.
Четвърт част от анкетираните разработчици каза, че при избора на библиотека за вграждане, основният акцент е върху функционалността и кодови лицензи и едва тогава се разглежда сигурността.
Разглеждаме най-популярните библиотеки през 2019 г. спрямо 2020 г., както и най-популярните библиотеки с известни уязвимости през 2019 г. спрямо 2020 г. Долен ред: можете да добавите използването на библиотеки с отворен код към списъка с неща, които са се променили драстично в 2020. Кое е горещо и кое не, и кое е безопасно и кое не, се променя бързо.
Трябва да се отбележи, че ситуацията с проверката на лиценза на кода не е по-добра: 54% от анкетираните признаха, че не винаги проверяват лиценза за библиотечен код, преди да го интегрират в своя продукт. Само 27% от анкетираните практикуват задължителна проверка за съвместимост на лицензите.
И накрая, ако се интересувате да научите повече за изследването, проведено от Veracode, можете да се консултирате с подробностите В следващия линк.
Обичайно е да поставяте библиотека в локалната файлова система, вместо да свързвате, тъй като понякога връзката се променя и функционалността се губи.