Μερικές μέρες πριν Βερακώδικας (εταιρεία ασφάλειας εφαρμογών) το έκανε γνωστό μέσω μιας ανάρτησης ιστολογίου, μια μελέτη για τα προβλήματα ασφαλείας που προκαλούνται από την ενσωμάτωση βιβλιοθηκών ανοιχτού κώδικα σε εφαρμογές.
Ως αποτέλεσμα της σάρωσης 86 αποθετηρίων και μιας έρευνας σχεδόν 79 προγραμματιστών, διαπιστώθηκε ότι το XNUMX% των έργων βιβλιοθήκης τρίτων που μεταφέρθηκαν σε κώδικα δεν ενημερώνονται στη συνέχεια.
Βερακώδικας επισημαίνει στη μελέτη τουή ότι το κύριο πρόβλημα σχετίζονται με προβλήματα ασφαλείας σε εφαρμογές που Η χρήση βιβλιοθηκών ανοιχτού κώδικα είναι ότι αντί να τις συνδέετε δυναμικά, πολλές εταιρείες περιλαμβάνουν μόνο τις απαραίτητες βιβλιοθήκες στα έργα σας, χωρίς να λαμβάνονται υπόψη οι πιθανές ενημερώσεις ή λύσεις σε σφάλματα που βρέθηκαν αργότερα σε αυτές τις βιβλιοθήκες.
Ταυτόχρονα, σημειώνει ότι ο ξεπερασμένος κωδικός βιβλιοθήκης προκαλεί ζητήματα ασφαλείας και ότι σε αυτή τη μελέτη δείχνει ότι περίπου το 92% των περιπτώσεων μπορεί να αποφευχθεί απλώς με την ενημέρωση του κώδικα βιβλιοθήκης.
Σήμερα δημοσιεύουμε την έκδοση ανοιχτού κώδικα της ετήσιας έκθεσης για την κατάσταση ασφάλειας λογισμικού. Εστιάζοντας αποκλειστικά στην ασφάλεια βιβλιοθηκών ανοιχτού κώδικα, η έκθεση περιλαμβάνει ανάλυση 13 εκατομμυρίων σαρώσεων από περισσότερα από 86.000 αποθετήρια, που περιέχουν περισσότερες από 301.000 μοναδικές βιβλιοθήκες.
Στην έκθεση έκδοσης ανοιχτού κώδικα πέρυσι, εξετάσαμε ένα στιγμιότυπο της χρήσης και της ασφάλειας των βιβλιοθηκών ανοιχτού κώδικα. Φέτος, προχωρήσαμε πέρα από ένα χρονικό στιγμιότυπο για να εξετάσουμε τη δυναμική της ανάπτυξης της βιβλιοθήκης και πώς αντιδρούν οι προγραμματιστές στις αλλαγές της βιβλιοθήκης, συμπεριλαμβανομένης της ανακάλυψης σφαλμάτων.
εκτός αυτού οι δικαιολογίες ότι οι βιβλιοθήκες δεν ενημερώνονται, Έληξε σε πιθανή αποτυχία συμβατότητας τα οποία είναι ως επί το πλείστον αβάσιμα. Αντιμετωπίζοντας τέτοιου είδους δικαιολογίες Ο Veracode απέδειξε το αντίθετο στη μελέτη τους ότι περίπου το 69% των περιπτώσεων που μελετήθηκαν, είπε ότι τα τρωτά σημεία επιδιορθώθηκαν στις εκδόσεις κώδικα που δεν σχετίζονται με αλλαγές στη λειτουργικότητα.
Η έκθεση αποκαλύπτει ότι παρόλο που οι βιβλιοθήκες ανοιχτού κώδικα αποτελούν τη βάση σχεδόν όλων των λογισμικών, δεν είναι μια σταθερή βάση, αλλά μάλλον ένα συνεχώς εξελισσόμενο και μεταβαλλόμενο θεμέλιο. Ωστόσο, οι πρακτικές ανάπτυξης δεν προσαρμόζονται πάντα στη δυναμική φύση αυτών των βιβλιοθηκών, αφήνοντας τους οργανισμούς εκτεθειμένους.
Επίσης αναφέρει ότι ο αντίκτυπος ασκείται επίσης από την ενημέρωση των προγραμματιστών σχετικά με την εμφάνιση ευπαθειών: si ενημερώθηκαν οι προγραμματιστές ενός προβλήματος στη βιβλιοθήκη, στο 17% των περιπτώσεων το πρόβλημα επιλύθηκε σε μια ώρα και 25% σε μια εβδομάδα.
Εάν υπήρχαν πληροφορίες σχετικά με το πώς μια ευπάθεια στη βιβλιοθήκη θα μπορούσε να οδηγήσει σε συμβιβασμό μιας εφαρμογής, στο 50% των περιπτώσεων η ενημέρωση κώδικα απελευθερώθηκε σε τρεις εβδομάδες και χωρίς να παρέχει πληροφορίες, η εξάλειψη της ευπάθειας έπρεπε να περιμένει 7 μήνες ή περισσότερο.
Ένα τέταρτο μέρος των προγραμματιστών που ερωτήθηκαν είπε ότι κατά την επιλογή μιας βιβλιοθήκης να ενσωματώσετε, η κύρια εστίαση είναι στη λειτουργικότητα και άδειες κώδικα, και μόνο τότε εξετάζεται η ασφάλεια.
Εξετάζουμε τις πιο δημοφιλείς βιβλιοθήκες το 2019 έναντι του 2020, καθώς και τις πιο δημοφιλείς βιβλιοθήκες με γνωστά τρωτά σημεία το 2019 έναντι του 2020. Κατώτατη γραμμή: μπορείτε να προσθέσετε τη χρήση βιβλιοθηκών ανοιχτού κώδικα στη λίστα με τα πράγματα που άλλαξαν δραματικά 2020. Τι είναι ζεστό και τι όχι, και τι είναι ασφαλές και τι όχι, αλλάζει γρήγορα.
Θα πρέπει να σημειωθεί ότι η κατάσταση με την επαλήθευση άδειας κώδικα δεν είναι καλύτερη: 54% των ερωτηθέντων παραδέχτηκαν ότι δεν επαληθεύουν πάντα την άδεια για κωδικό βιβλιοθήκης πριν την ενσωματώσουν στο προϊόν τους. Μόνο το 27% των ερωτηθέντων εφαρμόζουν υποχρεωτική επαλήθευση συμβατότητας άδειας.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με τη μελέτη που πραγματοποίησε η Veracode, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.
Είναι σύνηθες να τοποθετείτε μια βιβλιοθήκη στο τοπικό σύστημα αρχείων αντί για σύνδεση, καθώς μερικές φορές ο σύνδεσμος αλλάζει και η λειτουργικότητα χάνεται.