Mõni päev tagasi Verakood (rakenduste turvaettevõte) tegi sellest teada ajaveebipostituse kaudu, uuring avatud lähtekoodiga raamatukogude ühendamisest põhjustatud turvaprobleemide kohta rakendustes.
86 79 hoidla skannimise ja ligi XNUMX arendaja küsitluse tulemusel tehti kindlaks, et XNUMX% kolmanda osapoole raamatukoguprojektidest, mis on koodile üle viidud, ei värskendata enam kunagi.
Verakood juhib tähelepanu oma kabinetisvõi et peamine probleem seotud turvaprobleemidega rakendustes, mis avatud lähtekoodiga teekide kasutamine on nende dünaamilise linkimise asemel, paljud ettevõtted need lihtsalt hõlmavad vajalikke teeke oma projektides, arvestamata nendes raamatukogudes hiljem leitud võimalike värskenduste või vigade lahendustega.
Samal ajal märgib, et vananenud raamatukogu kood põhjustab turvalisusega seotud probleeme ja et selles uuringus näitab see, et umbes 92% juhtudest saab vältida lihtsalt raamatukogu koodi ajakohastamisega.
Täna avaldame iga-aastase tarkvaraturvalisuse aruande avatud lähtekoodiga väljaande. Keskendudes eranditult avatud lähtekoodiga teekide turvalisusele, sisaldab aruanne 13 miljoni skannimise analüüsi enam kui 86.000 301.000 hoidlast, mis sisaldab üle XNUMX XNUMX unikaalse teegi.
Eelmise aasta avatud lähtekoodiga väljaande aruandes vaatasime pilti avatud lähtekoodiga teekide kasutamisest ja turvalisusest. Sel aastal läksime kaugemale hetkepildist, et uurida raamatukogu arendamise dünaamikat ja seda, kuidas arendajad reageerivad raamatukogu muudatustele, sealhulgas vigade avastamisele.
peale selle vabandused, et raamatukogusid ei ajakohastata, See on tingitud ühilduvuse võimaliku rikkeni mis on enamasti alusetud. Seistes silmitsi selliste vabandustega Veracode tõestas vastupidist oma uuringus, et umbes 69% uuritud juhtumitest ütles, et turvaaukude väljalaskes fikseeriti haavatavused mis ei olnud seotud funktsionaalsuse muutustega.
Aruandest selgub, et kuigi avatud lähtekoodiga raamatukogud on peaaegu kogu tarkvara alus, ei ole see kindel alus, vaid pigem pidevalt arenev ja muutuv alus. Arendustavad ei kohane aga alati nende raamatukogude dünaamilise olemusega, jättes organisatsioonid puutumatuks.
Tambien mainib, et mõju avaldab ka arendajate teavitamine haavatavuste ilmnemise kohta: si teavitati arendajaid probleem raamatukogus, 17% juhtudest probleem lahendati tunni ja 25% nädalaga.
Kui oli teavet selle kohta, kuidas raamatukogu haavatavus võib viia rakenduse ohtu seadmiseni, vabastati 50% juhtudest plaaster kolme nädala jooksul ja ilma teavet esitamata pidi haavatavuse kõrvaldamine ootama 7 kuud või rohkem.
Veerandosa küsitletud arendajatest ütlesid, et raamatukogu valimisel kinnistada, põhirõhk on funktsionaalsusel ja koodilitsentsid ning alles siis kaalutakse turvalisust.
Vaatame kõige populaarsemaid raamatukogusid aastatel 2019 vs 2020, samuti kõige populaarsemaid teadaolevate haavatavustega raamatukogusid aastatel 2019 vs 2020. Alumine rida: saate lisada avatud lähtekoodiga teekide kasutamise nende asjade loendisse, mis 2020. Mis on kuum ja mis mitte ning mis on ohutu ja mis mitte, muutub kiiresti.
Tuleb märkida, et olukord koodilitsentsi kontrollimisel pole parem: 54% vastanutest tunnistas, et ei kontrolli raamatukogu koodi litsentsi alati enne selle integreerimist oma tootesse. Ainult 27% vastanutest praktiseerib litsentside ühilduvuse kohustuslikku kontrollimist.
Lõpuks, kui olete huvitatud Veracode'i uuringu kohta lisateabe saamisest, võite tutvuda üksikasjadega Järgmisel lingil.
On tavaline, et linkimise asemel paigutatakse teek lokaalsesse failisüsteemi, kuna mõnikord link muutub ja funktsionaalsus kaob.