Fa alguns dies Codi Vera (Una empresa en seguretat d'aplicacions) va donar a conèixer mitjançant una publicació de bloc, un estudi sobre els problemes de seguretat causats per la incorporació de biblioteques de codi obert en les aplicacions.
Com a resultat d'escanejar 86 repositoris i una enquesta a prop de dos mil desenvolupadors, es va determinar que el 79% dels projectes de biblioteques de tercers transferits a el codi mai s'actualitzen posteriorment.
Codi Vera assenyala en el seu estudio que el principal problema associat als problemes de seguretat en aplicacions que utilitzen biblioteques de codi obert és que en lloc de vincular-dinàmicament, Moltes empreses simplement inclouen les biblioteques necessàries en els seus projectes, sense prendre en compte les possibles actualitzacions o solucions a errors trobats posteriorment en aquestes biblioteques.
Alhora, assenyala que el codi de biblioteca desactualitzat causa problemes de seguretat i que en aquest estudi mostra que al voltant de l'92% dels casos es poden evitar simplement actualitzant el codi de la biblioteca.
Avui publiquem l'edició de codi obert del nostre informe anual State of Programari Securityinforme. Centrat exclusivament en la seguretat de les biblioteques de codi obert, l'informe inclou l'anàlisi de 13 milions d'escanejos de més de 86.000 repositoris, que contenen més de 301.000 biblioteques úniques.
En l'informe de l'edició de codi obert de l'any passat, vam analitzar una instantània de l'ús i la seguretat de les biblioteques de codi obert. Aquest any, vam ser més enllà de la instantània d'un punt en el temps per examinar la dinàmica de el desenvolupament de la biblioteca i com reaccionen els desenvolupadors als canvis de la biblioteca, inclòs el descobriment de falles.
A més de que les excuses que les biblioteques no s'actualitzen, és degut a una possible falla de la compatibilitat que són majoritàriament infundades. Davant d'aquest tipus d'excuses Veracode va demostrar tot el contrari en el seu estudi que prop de l'69% dels casos estudiats, dites les vulnerabilitats es van solucionar en versions de correcció que no estaven relacionades amb canvis en la funcionalitat.
L'informe revela que, tot i que les biblioteques de codi obert són la base de gairebé tot el programari, no és una base sòlida, sinó una base en constant evolució i canvi. No obstant això, Les pràctiques de desenvolupament no sempre s'adapten a la naturalesa dinàmica d'aquestes biblioteques, el que deixa exposades a les organitzacions.
també esmenta que l'impacte també s'exerceix a l'informar els desenvolupadors sobre l'aparició de vulnerabilitats: si els desenvolupadors van ser notificats d'un problema a la biblioteca, al 17% dels casos el problema es va resoldre en una hora i en el 25% en una setmana.
Si hi havia informació sobre com una vulnerabilitat a la biblioteca podia portar a comprometre una aplicació, en el 50% dels casos el pegat es va llançar en tres setmanes, i sense proporcionar informació, l'eliminació de la vulnerabilitat va haver d'esperar 7 mesos o més.
Una quarta part dels desenvolupadors enquestats va dir que a l'escollir una biblioteca per incrustar, l'enfocament principal està en la funcionalitat i les llicències de codi, i només llavors es considera la seguretat.
Analitzem les biblioteques més populars el 2019 enfront de 2020, així com les biblioteques més populars amb vulnerabilitats conegudes en 2019 enfront de 2020. En poques paraules: pot afegir l'ús de biblioteques de codi obert a la llista de coses que van canviar dràsticament el 2020. el que està de moda i el que no, i el que és segur i el que no, canvia ràpidament.
Cal assenyalar que la situació amb la verificació de llicències de codi no és millor: el 54% dels enquestats va admetre que no sempre verifiquen la llicència per al codi de la biblioteca abans d'integrar-lo en el seu producte. Només el 27% dels enquestats practica la verificació obligatòria de la compatibilitat de les llicències.
Finalment si estàs interessat en conèixer més a l'respecte sobre l'estudi realitzat per Veracode, pots consultar els detalls en el següent enllaç.