Probleme sa sigurnošću uzrokuje i korištenje biblioteka trećih strana

Prije nekoliko dana veracode (kompanija za zaštitu aplikacija) dao do znanja putem bloga, studija o sigurnosnim pitanjima uzrokovanim ugradnjom biblioteka otvorenog koda u aplikacijama.

Kao rezultat skeniranja 86 hiljada spremišta i ankete oko dvije hiljade programera, utvrđeno je da se 79% bibliotečkih projekata trećih strana portovanih u kod nikada naknadno ne ažurira.

veracode ističe u svojoj radnoj sobiili da je glavni problem povezane sa sigurnosnim problemima u aplikacijama koje oni koriste biblioteke otvorenog koda umjesto da ih dinamički povezuju, mnoge kompanije oni jednostavno uključuju biblioteke potrebne u njihovim projektima, bez uzimanja u obzir mogućih ažuriranja ili rješenja grešaka koje su kasnije pronađene u navedenim bibliotekama.

Istovremeno, ističe da zastarjeli kod biblioteke uzrokuje sigurnosne probleme i da ova studija pokazuje da se oko 92% slučajeva može izbjeći jednostavnim ažuriranjem koda biblioteke.

Danas smo objavili izdanje otvorenog koda našeg godišnjeg izvještaja o stanju sigurnosti softvera. Fokusiran isključivo na sigurnost biblioteka otvorenog koda, izvještaj uključuje analizu 13 miliona skeniranja više od 86.000 spremišta, koji sadrže više od 301.000 jedinstvenih biblioteka.

U prošlogodišnjem izvještaju Open Source Edition, napravili smo snimak upotrebe i sigurnosti biblioteka otvorenog koda. Ove godine smo otišli dalje od snimka određenog trenutka kako bismo ispitali dinamiku razvoja biblioteke i kako programeri reaguju na promjene biblioteke, uključujući otkrivanje grešaka.

pored toga izgovori da se biblioteke ne ažuriraju, To je zbog do mogućeg neuspjeha kompatibilnosti koji su uglavnom neosnovani. S obzirom na ovakve vrste izgovora Veracode je dokazao suprotno u njihovoj studiji da je oko 69% proučavanih slučajeva, Ove ranjivosti su popravljene u izdanjima popravka koje nisu bile vezane za promjene u funkcionalnosti.

 Izvještaj otkriva da iako su biblioteke otvorenog koda temelj gotovo svih softvera, one nisu čvrsta osnova, već temelj koji se stalno razvija i mijenja. Međutim, razvojne prakse se ne prilagođavaju uvijek dinamičnoj prirodi ovih biblioteka, ostavljajući organizacije izložene. 

Tambien napominje da se uticaj vrši i informisanjem programera o nastanku ranjivosti: si programeri su bili obaviješteni problema u biblioteci, u U 17% slučajeva problem je riješen u jednom satu i 25% u sedmici.

Ako je postojala informacija o tome kako bi ranjivost u biblioteci mogla dovesti do kompromitacije aplikacije, u 50% slučajeva zakrpa je objavljena u roku od tri sedmice, a bez pružanja informacija, uklanjanje ranjivosti je moralo čekati 7 mjeseci ili više.

Četvrtina dijela anketiranih programera je to rekao prilikom odabira biblioteke ugraditi, glavni fokus je na funkcionalnosti i kodne licence, a tek onda se razmatra sigurnost.

Gledamo najpopularnije biblioteke u 2019. u odnosu na 2020., kao i najpopularnije biblioteke sa poznatim ranjivostima u 2019. u odnosu na 2020. Zaključak: Možete dodati upotrebu biblioteka otvorenog koda na listu stvari koje su se dramatično promijenile u 2020. Šta je vruće, a šta nije, i šta je bezbedno, a šta nije, brzo se menja.

Treba napomenuti da situacija sa verifikacijom licence koda nije ništa bolja: 54% ispitanika je priznalo da ne verifikuje uvek licencu za bibliotečki kod pre nego što je integriše u svoj proizvod. Samo 27% ispitanika praktikuje obaveznu provjeru kompatibilnosti licence.

Konačno, ako ste zainteresirani da saznate više o studiji koju je proveo Veracode, možete pogledati detalje Na sledećem linku.


Komentar, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   luix rekao je

    Uobičajeno je postaviti biblioteku u lokalni sistem datoteka umjesto povezivanja, jer se ponekad veza mijenja i funkcionalnost se gubi.