Joitakin päiviä sitten Vera -koodi (sovellusten turvallisuusyritys) teki siitä tunnetuksi blogikirjoituksen kautta, tutkimus avoimen lähdekoodin kirjastojen yhdistämisen aiheuttamista turvallisuusongelmista sovelluksissa.
86 79 arkiston skannauksen ja lähes XNUMX kehittäjän kyselyn tuloksena todettiin, että XNUMX% koodiin siirretyistä kolmannen osapuolen kirjastoprojekteista ei koskaan päivity myöhemmin.
Vera -koodi huomauttaa hänen tutkimuksessaantai että suurin ongelma liittyvät sovellusten tietoturvaongelmiin Käytä avoimen lähdekoodin kirjastoja sen sijaan, että linkität ne dynaamisesti, monet yritykset ne vain sisältävät tarvittavat kirjastot projekteissasi ottamatta huomioon myöhemmin näissä kirjastoissa löydettyjä mahdollisia päivityksiä tai ratkaisuja virheisiin.
Samalla toteaa, että vanhentunut kirjastokoodi aiheuttaa turvallisuusongelmia ja että tässä tutkimuksessa se osoittaa, että noin 92% tapauksista voidaan välttää yksinkertaisesti päivittämällä kirjastokoodi.
Julkaisemme tänään avoimen lähdekoodin vuosittaisen ohjelmistoturvallisuusraportin. Keskitytään yksinomaan avoimen lähdekoodin kirjastojen turvallisuuteen, raportti sisältää analyysin 13 miljoonasta skannauksesta yli 86.000 301.000 arkistosta, joissa on yli XNUMX XNUMX ainutlaatuista kirjastoa.
Viime vuoden avoimen lähdekoodin raportissa tarkastelimme tilannekuvaa avoimen lähdekoodin kirjastojen käytöstä ja turvallisuudesta. Tänä vuonna menimme hetkellisestä otoksesta pidemmälle tutkiakseen kirjastokehityksen dynamiikkaa ja sitä, miten kehittäjät reagoivat kirjaston muutoksiin, mukaan lukien virheen löytäminen.
Sen lisäksi tekosyitä siitä, että kirjastoja ei päivitetä, Se johtuu mahdolliseen yhteensopivuusvikaan jotka ovat enimmäkseen perusteettomia. Tällaisten tekosyiden edessä Veracode osoitti päinvastoin tutkimuksessaan, että noin 69% tutkituista tapauksista sanoi, että haavoittuvuudet korjattiin korjaustiedostoissa jotka eivät liittyneet toiminnallisuuden muutoksiin.
Raportti paljastaa, että vaikka avoimen lähdekoodin kirjastot ovat melkein kaikkien ohjelmistojen perusta, se ei ole vankka perusta, vaan pikemminkin jatkuvasti kehittyvä ja muuttuva perusta. Kehityskäytännöt eivät kuitenkaan aina sopeudu näiden kirjastojen dynaamiseen luonteeseen, jolloin organisaatiot altistuvat.
myös mainitsee, että vaikutus kohdistuu myös ilmoittamalla kehittäjille haavoittuvuuksien esiintymisestä: skehittäjille ilmoitettiin ongelmasta kirjastossa, 17% tapauksista ongelma ratkaistiin tunnissa ja 25% viikossa.
Jos oli tietoa siitä, kuinka kirjaston haavoittuvuus voi johtaa sovelluksen vaarantumiseen, korjaustiedosto julkaistiin 50 prosentissa tapauksista kolmessa viikossa, eikä tietoja tarvinnut antaa haavoittuvuuden poistamista odottaa vähintään 7 kuukautta.
Neljäsosa kyselyyn vastanneista kehittäjistä sanoi, että kun valitset kirjastoa upottaa, pääpaino on toiminnallisuudessa ja koodilisenssejä, ja vasta sitten turvallisuus otetaan huomioon.
Tarkastelemme suosituimpia kirjastoja vuosina 2019--2020 sekä suosituimpia kirjastoja, joilla on tunnettuja haavoittuvuuksia vuosina 2019--2020. Alarivi: Voit lisätä avoimen lähdekoodin kirjastojen käytön luetteloon asioista, jotka muuttuvat dramaattisesti 2020. Mikä on kuuma ja mikä ei, mikä on turvallista ja mikä ei, muuttuu nopeasti.
On huomattava, että tilanne koodilisenssitarkastuksessa ei ole parempi: 54% vastaajista myönsi, että he eivät aina tarkista kirjastokoodin lisenssiä ennen integrointia tuotteeseensa. Vain 27% vastaajista harjoittaa pakollista lisenssin yhteensopivuuden tarkistusta.
Lopuksi, jos olet kiinnostunut oppimaan lisää Veracoden tekemästä tutkimuksesta, voit tutustua yksityiskohtiin Seuraavassa linkissä.
On tavallista laittaa kirjasto paikalliseen tiedostojärjestelmään linkityksen sijasta, koska joskus linkki muuttuu ja toiminnot menetetään.