I prublemi di sicurezza sò ancu causati da l'usu di biblioteche di terze parti

Certi ghjorni fà Veracode (una sucietà di sicurezza di l'applicazione) hà fattu sapè via un post di blog, un studiu nantu à i prublemi di sicurezza causati da l'incorporazione di biblioteche open source in appiicazioni.

In cunsequenza di a scansione di 86 repositori è di un'inchiesta di quasi 79 sviluppatori, hè statu determinatu chì u XNUMX% di i prughjetti di biblioteche di terze parti trasferiti in codice ùn sò mai più successivamente aggiornati.

Veracode puntu in u so studiuo chì u prublema principale assuciatu cù prublemi di sicurità in l'applicazioni chì aduprà biblioteche open source hè chì invece di ligalli dinamicamente, parechje cumpagnie includenu solu e bibliuteche necessarie in i vostri prughjetti, senza tene contu di l'aggiornamenti pussibuli o di e suluzioni à l'errori truvati dopu in ste bibliuteche.

In listessu tempu, nota chì u còdice di biblioteca anticu provoca prublemi di sicurità è chì in stu studiu mostra chì circa 92% di i casi ponu esse evitati simpliciamente aghjurnendu u codice di a biblioteca.

Oghje publicemu l'edizione open source di u nostru raportu annuale di Statu di Sicurezza Software. Fighjendu solu nantu à a sicurezza di e biblioteche open source, u rapportu include analisi di 13 milioni di scans da più di 86.000 repositori, chì cuntenenu più di 301.000 biblioteche uniche.

In u rapportu di edizione open source di l'annu scorsu, avemu guardatu una istantanea di l'usu è a sicurezza di e biblioteche open source. Quist'annu, simu andati al di là di un snapshot point-in-time per esaminà a dinamica di u sviluppu di e bibliuteche è cumu i sviluppatori reagiscenu à i cambiamenti di biblioteca, cumprese a scuperta di bug.

In più di què e scuse chì e biblioteche ùn sò micca aggiornate, Hè dovutu à un pussibule fallimentu di cumpatibilità chì sò per u più infundate. Di fronte à sti generi di scuse Veracode hà dimustratu u cuntrariu in u so studiu chì circa 69% di i casi studiati, hà dettu chì e vulnerabilità sò state riparate in i rilasci di patch chì ùn eranu micca in relazione cù cambiamenti di funziunalità.

 U rapportu rivela chì ancu se e biblioteche open source sò u fundamentu di guasi tuttu u software, ùn hè micca un fundamentu solidu, ma piuttostu un fundamentu in evoluzione è cambiante. Tuttavia, e pratiche di sviluppu ùn si adattanu micca sempre à a natura dinamica di queste biblioteche, lascendu e urganizazioni esposte. 

Troppu ammenta chì l'impattu hè ancu esercitu informendu i sviluppatori nantu à l'apparizione di vulnerabili: si sviluppatori sò stati avvisati di un prublema in a biblioteca, in u U 17% di i casi u prublema hè statu risoltu in una ora è 25% in una settimana.

Se ci era infurmazione nantu à cume una vulnerabilità in a biblioteca puderia purtà à compromettere un'applicazione, in 50% di i casi a patch hè stata liberata in trè settimane, è senza furnisce infurmazioni, l'eliminazione di a vulnerabilità hà da aspettà 7 mesi o più.

Un quartu di parte di i sviluppatori inchiestati anu dettu chì quandu si sceglie una biblioteca incrustà, u focus principale hè nantu à a funzionalità è licenze di codice, è solu tandu hè cunsiderata a securità.

Fighjemu e biblioteche più famose in 2019 vs 2020, è ancu e biblioteche più famose cù vulnerabilità cunnisciute in 2019 vs 2020. Linea di fondu: pudete aghjunghje l'usu di biblioteche open source à a lista di e cose chì anu cambiatu dramaticamente in 2020. Ciò chì hè caldu è ciò chì ùn hè micca, è ciò chì hè sicuru è ciò chì ùn hè micca, cambia rapidamente.

Ci hè da nutà chì a situazione cù a verificazione di a licenza di codice ùn hè micca megliu: u 54% di i rispondenti anu ammessu chì ùn verificanu micca sempre a licenza per u codice di a biblioteca prima di integralla in u so pruduttu. Solu u 27% di i rispondenti pratica a verificazione di cumpatibilità di licenza ubligatoria.

Infine, sè site interessatu à amparà di più nantu à u studiu realizatu da Veracode, pudete cunsultà i dettagli In u ligame seguente.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Un cummentariu, lasciate u vostru

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu. campi, nicissarii sò marcati cù *

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   luix dijo

    Hè cumunu di mette una biblioteca nantu à u sistema di fugliale lucale invece di ligà, chì certe volte u ligame cambia è a funziunalità hè persa.