Před pár dny Verakód (společnost zabývající se zabezpečením aplikací) oznámil to prostřednictvím příspěvku na blogu, studie o bezpečnostních problémech způsobených začleněním open source knihoven v aplikacích.
V důsledku skenování 86 79 úložišť a průzkumu téměř XNUMX XNUMX vývojářů bylo zjištěno, že XNUMX% projektů knihoven třetích stran přenesených do kódu není nikdy následně aktualizováno.
Verakód upozorňuje ve své studiinebo že hlavní problém spojené s bezpečnostními problémy v aplikacích, které používat knihovny s otevřeným zdrojovým kódem je to, že je místo dynamického propojení, mnoho společností prostě obsahují potřebné knihovny ve vašich projektech, aniž byste přihlíželi k možným aktualizacím nebo řešením chyb nalezených později v těchto knihovnách.
Současně konstatuje, že zastaralý kód knihovny způsobuje problémy se zabezpečením a že v této studii ukazuje, že přibližně 92% případů lze zabránit jednoduše aktualizací kódu knihovny.
Dnes vydáváme vydání open source naší výroční zprávy o stavu zabezpečení softwaru. Zpráva se zaměřuje výhradně na zabezpečení knihoven open source a obsahuje analýzu 13 milionů skenů z více než 86.000 301.000 úložišť, které obsahují více než XNUMX XNUMX jedinečných knihoven.
V loňské zprávě o vydání open source jsme se podívali na snímek použití a zabezpečení knihoven open source. V letošním roce jsme šli nad rámec point-in-time snímku, abychom prozkoumali dynamiku vývoje knihoven a jak vývojáři reagují na změny knihoven, včetně zjišťování chyb.
kromě toho výmluvy, že knihovny nejsou aktualizovány, Je to splatné k možnému selhání kompatibility které jsou většinou neopodstatněné. Tváří v tvář těmto druhům výmluv Veracode dokázal opak ve své studii, že asi 69% studovaných případů, uvedené chyby zabezpečení byly opraveny ve verzích oprav které nesouvisely se změnami funkčnosti.
Zpráva odhaluje, že zatímco knihovny otevřeného zdroje jsou základem téměř veškerého softwaru, nejde o pevný základ, ale spíše o základnu, která se neustále vyvíjí a mění. Vývojové postupy se však ne vždy přizpůsobují dynamické povaze těchto knihoven, což organizacím ponechává přístup.
Také uvádí, že dopad má také informování vývojářů o vzhledu zranitelností: si vývojáři byli upozorněni problému v knihovně, v 17% případů byl problém vyřešen za hodinu a 25% za týden.
Pokud existovaly informace o tom, jak by zranitelnost v knihovně mohla vést k ohrožení aplikace, v 50% případů byla oprava vydána za tři týdny a bez poskytnutí informací musela eliminace zranitelnosti počkat 7 a více měsíců.
Čtvrtina část dotazovaných vývojářů uvedlo, že při výběru knihovny vložit, hlavní důraz je kladen na funkčnost a kódové licence a až poté se zohlední zabezpečení.
Podíváme se na nejpopulárnější knihovny v letech 2019 vs. 2020, stejně jako nejoblíbenější knihovny se známými zranitelnostmi v letech 2019 vs. 2020. Sečteno a podtrženo: do seznamu věcí, které se dramaticky změnily, můžete přidat použití knihoven otevřeného zdroje. 2020. Co je žhavé a co ne a co bezpečné a co ne, se rychle mění.
Je třeba poznamenat, že situace s ověřením licence kódu není o nic lepší: 54% respondentů připustilo, že ne vždy ověřuje licenci pro kód knihovny před integrací do svého produktu. Pouze 27% respondentů praktikuje povinné ověření kompatibility licence.
Nakonec, pokud máte zájem dozvědět se více o studii prováděné Veracode, můžete si prohlédnout podrobnosti Na následujícím odkazu.
Je běžné umístit knihovnu do místního systému souborů namísto propojení, protože někdy dojde ke ztrátě propojení a funkčnosti.