Prije nekoliko dana veracode (kompanija za zaštitu aplikacija) dao do znanja putem bloga, studija o sigurnosnim pitanjima uzrokovanim ugradnjom biblioteka otvorenog koda u aplikacijama.
Kao rezultat skeniranja 86 hiljada spremišta i ankete oko dvije hiljade programera, utvrđeno je da se 79% bibliotečkih projekata trećih strana portovanih u kod nikada naknadno ne ažurira.
veracode ističe u svojoj radnoj sobiili da je glavni problem povezane sa sigurnosnim problemima u aplikacijama koje oni koriste biblioteke otvorenog koda umjesto da ih dinamički povezuju, mnoge kompanije oni jednostavno uključuju biblioteke potrebne u njihovim projektima, bez uzimanja u obzir mogućih ažuriranja ili rješenja grešaka koje su kasnije pronađene u navedenim bibliotekama.
Istovremeno, ističe da zastarjeli kod biblioteke uzrokuje sigurnosne probleme i da ova studija pokazuje da se oko 92% slučajeva može izbjeći jednostavnim ažuriranjem koda biblioteke.
Danas smo objavili izdanje otvorenog koda našeg godišnjeg izvještaja o stanju sigurnosti softvera. Fokusiran isključivo na sigurnost biblioteka otvorenog koda, izvještaj uključuje analizu 13 miliona skeniranja više od 86.000 spremišta, koji sadrže više od 301.000 jedinstvenih biblioteka.
U prošlogodišnjem izvještaju Open Source Edition, napravili smo snimak upotrebe i sigurnosti biblioteka otvorenog koda. Ove godine smo otišli dalje od snimka određenog trenutka kako bismo ispitali dinamiku razvoja biblioteke i kako programeri reaguju na promjene biblioteke, uključujući otkrivanje grešaka.
pored toga izgovori da se biblioteke ne ažuriraju, To je zbog do mogućeg neuspjeha kompatibilnosti koji su uglavnom neosnovani. S obzirom na ovakve vrste izgovora Veracode je dokazao suprotno u njihovoj studiji da je oko 69% proučavanih slučajeva, Ove ranjivosti su popravljene u izdanjima popravka koje nisu bile vezane za promjene u funkcionalnosti.
Izvještaj otkriva da iako su biblioteke otvorenog koda temelj gotovo svih softvera, one nisu čvrsta osnova, već temelj koji se stalno razvija i mijenja. Međutim, razvojne prakse se ne prilagođavaju uvijek dinamičnoj prirodi ovih biblioteka, ostavljajući organizacije izložene.
Tambien napominje da se uticaj vrši i informisanjem programera o nastanku ranjivosti: si programeri su bili obaviješteni problema u biblioteci, u U 17% slučajeva problem je riješen u jednom satu i 25% u sedmici.
Ako je postojala informacija o tome kako bi ranjivost u biblioteci mogla dovesti do kompromitacije aplikacije, u 50% slučajeva zakrpa je objavljena u roku od tri sedmice, a bez pružanja informacija, uklanjanje ranjivosti je moralo čekati 7 mjeseci ili više.
Četvrtina dijela anketiranih programera je to rekao prilikom odabira biblioteke ugraditi, glavni fokus je na funkcionalnosti i kodne licence, a tek onda se razmatra sigurnost.
Gledamo najpopularnije biblioteke u 2019. u odnosu na 2020., kao i najpopularnije biblioteke sa poznatim ranjivostima u 2019. u odnosu na 2020. Zaključak: Možete dodati upotrebu biblioteka otvorenog koda na listu stvari koje su se dramatično promijenile u 2020. Šta je vruće, a šta nije, i šta je bezbedno, a šta nije, brzo se menja.
Treba napomenuti da situacija sa verifikacijom licence koda nije ništa bolja: 54% ispitanika je priznalo da ne verifikuje uvek licencu za bibliotečki kod pre nego što je integriše u svoj proizvod. Samo 27% ispitanika praktikuje obaveznu provjeru kompatibilnosti licence.
Konačno, ako ste zainteresirani da saznate više o studiji koju je proveo Veracode, možete pogledati detalje Na sledećem linku.
Uobičajeno je postaviti biblioteku u lokalni sistem datoteka umjesto povezivanja, jer se ponekad veza mijenja i funkcionalnost se gubi.