Ça fait quelques jours Véracode (une société de sécurité applicative) dévoilé via un article de blog, une étude sur les problèmes de sécurité causés par l'incorporation de bibliothèques open source dans les candidatures.
À la suite de l'analyse de 86 79 référentiels et d'une enquête auprès de près de XNUMX XNUMX développeurs, il a été déterminé que XNUMX % des projets de bibliothèques tierces transférés en code ne sont jamais mis à jour par la suite.
Véracode souligne dans son bureauou que le problème principal associés à des problèmes de sécurité dans les applications qui utiliser des bibliothèques open source est qu'au lieu de les lier dynamiquement, de nombreuses entreprises ils incluent juste les bibliothèques nécessaires dans vos projets, sans tenir compte des éventuelles mises à jour ou solutions aux erreurs trouvées ultérieurement dans ces bibliothèques.
En même temps, note que le code de bibliothèque obsolète provoque des problèmes de sécurité et que dans cette étude, il montre qu'environ 92% des cas peuvent être évités simplement en mettant à jour le code de la bibliothèque.
Aujourd'hui, nous publions l'édition open source de notre rapport annuel sur l'état de la sécurité logicielle. Se concentrant exclusivement sur la sécurité des bibliothèques open source, le rapport comprend l'analyse de 13 millions d'analyses provenant de plus de 86.000 301.000 référentiels, contenant plus de XNUMX XNUMX bibliothèques uniques.
Dans le rapport sur l'édition open source de l'année dernière, nous avons examiné un aperçu de l'utilisation et de la sécurité des bibliothèques open source. Cette année, nous sommes allés au-delà d'un instantané ponctuel pour examiner la dynamique du développement des bibliothèques et la façon dont les développeurs réagissent aux modifications de la bibliothèque, y compris la découverte de bogues.
En plus que les excuses que les bibliothèques ne sont pas mises à jour, C'est dû à un éventuel échec de compatibilité qui sont pour la plupart infondées. Face à ce genre d'excuses Veracode a prouvé le contraire dans leur étude qu'environ 69 % des cas étudiés, lesdites vulnérabilités ont été corrigées dans les versions de correctifs qui n'étaient pas liés à des changements de fonctionnalité.
Le rapport révèle que si les bibliothèques open source sont la base de presque tous les logiciels, ce n'est pas une base solide, mais plutôt une base qui évolue et change constamment. Cependant, les pratiques de développement ne s'adaptent pas toujours à la nature dynamique de ces bibliothèques, laissant les organisations exposées.
Aussi mentionne que l'impact s'exerce également en informant les développeurs sur l'apparition de vulnérabilités : si les développeurs ont été avertis d'un problème dans la bibliothèque, dans le 17% des cas le problème a été résolu en une heure et 25% en une semaine.
S'il y avait des informations sur la façon dont une vulnérabilité dans la bibliothèque pouvait conduire à compromettre une application, dans 50% des cas, le correctif était publié en trois semaines, et sans fournir d'informations, l'élimination de la vulnérabilité devait attendre 7 mois ou plus.
Un quart de partie des développeurs interrogés ont déclaré qu'au moment de choisir une bibliothèque à encastrer, l'accent est mis sur la fonctionnalité et les licences de code, et alors seulement la sécurité est prise en compte.
Nous examinons les bibliothèques les plus populaires en 2019 par rapport à 2020, ainsi que les bibliothèques les plus populaires avec des vulnérabilités connues en 2019 par rapport à 2020. Conclusion : vous pouvez ajouter l'utilisation de bibliothèques open source à la liste des éléments qui ont radicalement changé en 2020. Ce qui est chaud et ce qui ne l'est pas, et ce qui est sûr et ce qui ne l'est pas, change rapidement.
Il est à noter que la situation de la vérification de la licence du code n'est pas meilleure : 54 % des répondants admettent qu'ils ne vérifient pas toujours la licence du code de la bibliothèque avant de l'intégrer dans leur produit. Seuls 27 % des répondants pratiquent la vérification obligatoire de la compatibilité des licences.
Enfin, si vous souhaitez en savoir plus sur l'étude réalisée par Veracode, vous pouvez consulter les détails dans le lien suivant.
Il est courant de placer une bibliothèque sur le système de fichiers local au lieu de lier, car parfois le lien change et la fonctionnalité est perdue.