مسائل امنیتی نیز به دلیل استفاده از کتابخانه های شخص ثالث ایجاد می شود

چند روز پیش وراکد (یک شرکت امنیت برنامه) آن را شناخته است از طریق یک پست وبلاگ ، مطالعه ای درباره مشکلات امنیتی ناشی از تاسیس کتابخانه های منبع باز در برنامه ها

در نتیجه اسکن 86 مخزن و بررسی نزدیک به 79 توسعه دهنده ، مشخص شد که XNUMX٪ پروژه های کتابخانه شخص ثالث منتقل شده به کد هرگز متعاقباً به روز نمی شوند.

وراکد اشاره دارد در مطالعه خودیا این که مشکل اصلی است همراه با مشکلات امنیتی در برنامه هایی که استفاده از کتابخانه های منبع باز این است که به جای پیوند پویا آنها، بسیاری از شرکت ها آنها فقط شامل کتابخانه های لازم در پروژه های شما ، بدون در نظر گرفتن به روزرسانی های احتمالی یا راه حل های خطاهایی که بعداً در این کتابخانه ها پیدا شده است.

در همان زمان، یادداشت می کند که کد کتابخانه منسوخ شده باعث ایجاد مشکلات امنیتی می شود و این که در این مطالعه نشان می دهد که با به روزرسانی کد کتابخانه می توان از 92٪ موارد جلوگیری کرد.

امروز ما نسخه منبع آزاد گزارش سالانه وضعیت امنیت نرم افزار خود را منتشر می کنیم. این گزارش با تمرکز ویژه بر امنیت کتابخانه های منبع آزاد شامل تجزیه و تحلیل 13 میلیون اسکن از بیش از 86.000 مخزن است که حاوی بیش از 301.000 کتابخانه منحصر به فرد است.

در گزارش نسخه منبع آزاد سال گذشته ، ما به یک عکس از استفاده و امنیت کتابخانه های منبع باز نگاه کردیم. امسال ، ما برای بررسی پویایی توسعه کتابخانه و نحوه واکنش توسعه دهندگان به تغییرات کتابخانه ، از جمله کشف اشکال ، فراتر از یک عکس لحظه ای قرار گرفتیم.

علاوه بر آن بهانه هایی که کتابخانه ها به روز نمی شوند ، به دلیل آن است به یک احتمال سازگاری که اکثراً بی اساس هستند. در مواجهه با این نوع بهانه ها Veracode خلاف این را اثبات کرد در مطالعه خود که در حدود 69٪ موارد مورد مطالعه ، گفت: آسیب پذیری ها در نسخه های پچ رفع شدند که مربوط به تغییرات عملکرد نبود.

 این گزارش نشان می دهد که گرچه کتابخانه های منبع باز تقریباً پایه و اساس کلیه نرم افزارها هستند ، اما این یک پایه محکم نیست ، بلکه بنیادی است که به طور مداوم در حال تکامل و تغییر است. با این حال ، روشهای توسعه همیشه با طبیعت پویای این کتابخانه ها سازگار نیستند و سازمانها را در معرض دید قرار می دهند. 

همچنین اشاره می کند که این تأثیر با آگاهی دادن به توسعه دهندگان نیز اعمال می شود در مورد آسیب پذیری ها: sمن به توسعه دهندگان اطلاع داده شد از یک مشکل در کتابخانه ، در 17٪ موارد مشکل حل شد در یک ساعت و 25٪ در هفته.

اگر اطلاعاتی در مورد چگونگی آسیب پذیری در کتابخانه منجر به به خطر انداختن یک برنامه وجود داشت ، در 50٪ موارد در سه هفته وصله منتشر شد و بدون ارائه اطلاعات ، رفع آسیب پذیری باید 7 ماه یا بیشتر منتظر بماند.

یک چهارم قسمت از توسعه دهندگان نظرسنجی گفت که هنگام انتخاب کتابخانه تعبیه کردن ، تمرکز اصلی بر عملکرد است و مجوزهای کد ، و فقط در این صورت امنیت در نظر گرفته می شود.

ما به محبوب ترین کتابخانه ها در سال 2019 در مقایسه با سال 2020 و همچنین مشهورترین کتابخانه ها با آسیب پذیری های شناخته شده در سال 2019 در برابر 2020 نگاه می کنیم. نکته آخر: شما می توانید استفاده از کتابخانه های منبع باز را به لیست مواردی که به طرز چشمگیری تغییر کرده اند اضافه کنید 2020. چه گرم است و چه نه ، و چه امن است و چه نیست ، به سرعت تغییر می کند.

لازم به ذکر است که وضعیت تأیید مجوز کد بهتر نیست: 54٪ از پاسخ دهندگان اعتراف کردند که همیشه مجوز کد کتابخانه را قبل از ادغام آن در محصول خود تأیید نمی کنند. فقط 27٪ از پاسخ دهندگان راستی آزمایی اجباری مجوز را انجام می دهند.

سرانجام ، اگر علاقه مندید درباره مطالعه انجام شده توسط Veracode بیشتر بدانید ، می توانید با جزئیات مشورت کنید در لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

نظر بدهید ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   لوئیکس dijo

    معمول است که کتابخانه ای را به جای پیوند دادن روی سیستم فایل محلی قرار دهید ، زیرا گاهی اوقات پیوند تغییر می کند و عملکرد از بین می رود.