Os problemas de seguridade tamén son causados ​​polo uso de bibliotecas de terceiros

Hai uns días veracode (unha empresa de seguridade de aplicacións) deuno a coñecer a través dunha publicación no blog, un estudo sobre os problemas de seguridade causados ​​pola incorporación de bibliotecas de código aberto nas aplicacións.

Como resultado de dixitalizar 86 repositorios e unha enquisa a case 79 desenvolvedores, determinouse que o XNUMX% dos proxectos de bibliotecas de terceiros transferidos ao código nunca se actualizan posteriormente.

veracode señala no seu estudoou que o principal problema asociado a problemas de seguridade en aplicacións que usar bibliotecas de código aberto é que no canto de ligalas dinámicamente, moitas empresas só inclúen as bibliotecas necesarias nos seus proxectos, sen ter en conta as posibles actualizacións ou solucións aos erros atopados posteriormente nestas bibliotecas.

Ao mesmo tempo, observa que o código da biblioteca obsoleto causa problemas de seguridade e que neste estudo demostra que ao redor do 92% dos casos pódense evitar simplemente actualizando o código da biblioteca.

Hoxe publicamos a edición de código aberto do noso informe anual sobre o estado da seguridade do software. Centrado exclusivamente na seguridade das bibliotecas de código aberto, o informe inclúe a análise de 13 millóns de exploracións de máis de 86.000 repositorios, que conteñen máis de 301.000 bibliotecas únicas.

No informe da edición de código aberto do ano pasado, observamos unha instantánea do uso e seguridade das bibliotecas de código aberto. Este ano, fomos máis alá dunha instantánea puntual para examinar a dinámica do desenvolvemento das bibliotecas e como reaccionan os desenvolvedores aos cambios nas bibliotecas, incluído o descubrimento de erros.

ademáis diso as escusas de que as bibliotecas non se actualizan, É debido a un posible fallo de compatibilidade que son na súa maioría infundados. Fronte a este tipo de escusas Veracode demostrou o contrario no seu estudo que preto do 69% dos casos estudados, dixo que as vulnerabilidades solucionáronse nas versións de parches que non estivesen relacionados con cambios na funcionalidade.

 O informe revela que, aínda que as bibliotecas de código aberto son a base de case todo o software, non é unha base sólida, senón unha base que está en constante evolución e cambio. Non obstante, as prácticas de desenvolvemento non sempre se adaptan á natureza dinámica destas bibliotecas, deixando ás organizacións expostas. 

Tamén menciona que o impacto tamén se exerce informando aos desenvolvedores sobre a aparición de vulnerabilidades: sAvisoume aos desenvolvedores dun problema na biblioteca, no O 17% dos casos resolveuse o problema nunha hora e un 25% nunha semana.

Se houbo información sobre como unha vulnerabilidade na biblioteca podería levar a unha aplicación en perigo, no 50% dos casos o parche liberouse en tres semanas e, sen proporcionar información, a eliminación da vulnerabilidade tería que esperar 7 meses ou máis.

Un cuarto de parte dos desenvolvedores enquisados ​​dixeron que ao elixir unha biblioteca incorporar, o foco principal está na funcionalidade e licenzas de código, e só entón se considera a seguridade.

Observamos as bibliotecas máis populares en 2019 e 2020, así como as bibliotecas máis populares con vulnerabilidades coñecidas en 2019 e 2020. Conclusión: pode engadir o uso de bibliotecas de código aberto á lista de cousas que cambiaron drasticamente en 2020. O que fai calor e o que non, e o que é seguro e o que non, cambia rapidamente.

Cómpre ter en conta que a situación da verificación da licenza de código non é mellor: o 54% dos enquisados ​​admitiu que non sempre verifica a licenza do código da biblioteca antes de integrala no seu produto. Só o 27% dos enquisados ​​practica a verificación de compatibilidade de licenza obrigatoria.

Para rematar, se está interesado en saber máis sobre o estudo realizado por Veracode, pode consultar os detalles Na seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Un comentario, deixa o teu

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   luix dixo

    É común colocar unha biblioteca no sistema de ficheiros local no canto de enlazar, xa que ás veces a ligazón cambia e a funcionalidade pérdese.