Néhány napja Vera kód (alkalmazásbiztonsági cég) tudtára adta blogbejegyzés útján, tanulmány a nyílt forráskódú könyvtárak beépítése által okozott biztonsági problémákról alkalmazásokban.
86 79 adattár beolvasása és közel XNUMX fejlesztő felmérése eredményeként megállapították, hogy a harmadik féltől származó, kódba átadott könyvtári projektek XNUMX% -át soha nem frissítik később.
Vera kód rámutat dolgozószobájábanvagy hogy a fő probléma olyan alkalmazások biztonsági problémáival társítva, amelyek A nyílt forráskódú könyvtárak használata az, hogy dinamikus összekapcsolás helyett, sok vállalat csak tartalmazzák a szükséges könyvtárakat a projektjeiben, anélkül, hogy figyelembe venné az e könyvtárakban később talált esetleges frissítéseket vagy megoldásokat a hibákra.
Ugyanakkor, megjegyzi, hogy az elavult könyvtári kód biztonsági problémákat okoz és hogy ebben a tanulmányban azt mutatja, hogy az esetek körülbelül 92% -a elkerülhető pusztán a könyvtár kódjának frissítésével.
Ma közzétesszük az éves szoftverbiztonsági jelentés nyílt forráskódú kiadását. Kizárólag a nyílt forráskódú könyvtárak biztonságára összpontosítva a jelentés több mint 13 86.000 tárolóból származó 301.000 millió vizsgálat elemzését tartalmazza, amelyek több mint XNUMX XNUMX egyedi könyvtárat tartalmaznak.
A tavalyi nyílt forráskódú jelentésben a nyílt forráskódú könyvtárak használatának és biztonságának pillanatképét tekintettük meg. Idén túlléptünk egy-egy pillanatképen, hogy megvizsgáljuk a könyvtárfejlesztés dinamikáját és azt, hogy a fejlesztők hogyan reagálnak a könyvtár változásaira, beleértve a hibafelfedezést is.
Amellett, hogy mentség, hogy a könyvtárakat nem frissítik, Esedékes az esetleges kompatibilitási hibára amelyek többnyire megalapozatlanok. Ilyen típusú kifogásokkal szembesülve Veracode az ellenkezőjét bizonyította tanulmányuk során a vizsgált esetek körülbelül 69% -a, azt mondta, hogy a javításokat javították a patch kiadásokban amelyek nem kapcsolódtak a funkcionalitás változásához.
A jelentésből kiderül, hogy bár a nyílt forráskódú könyvtárak szinte az összes szoftver alapját képezik, ez nem szilárd alap, sokkal inkább egy folyamatosan fejlődő és változó alap. A fejlesztési gyakorlatok azonban nem mindig alkalmazkodnak e könyvtárak dinamikus jellegéhez, így a szervezetek ki vannak téve.
is megemlíti, hogy a hatást a fejlesztők tájékoztatása is gyakorolja a sebezhetőségek megjelenéséről: si értesítették a fejlesztőket probléma a könyvtárban, a Az esetek 17% -ában megoldódott a probléma egy óra alatt, és egy hét alatt 25%.
Ha volt információ arról, hogy a könyvtárban található biztonsági rés miként vezethet egy alkalmazás veszélyeztetéséhez, az esetek 50% -ában három hét alatt kiadták a javítást, és információk megadása nélkül a sebezhetőség eltávolítására legalább 7 hónapot kellett várni.
Negyed rész megkérdezett fejlesztők közül elmondta, hogy a könyvtár kiválasztásakor beágyazni, a fő hangsúly a funkcionalitáson van és kód licenceket, és csak ezután veszik figyelembe a biztonságot.
Megtekintjük a legnépszerűbb könyvtárakat 2019-ben és 2020-ban, valamint a legnépszerűbb, ismert sérülékenységű könyvtárakat 2019-ben és 2020-ban. Lényeg: hozzáadhatjuk a nyílt forráskódú könyvtárak használatát azon dolgok listájához, amelyek drámai módon megváltoztak 2020. Ami forró és mi nem, és ami biztonságos és mi nem, az gyorsan változik.
Meg kell jegyezni, hogy a kódengedély-ellenőrzéssel nem jobb a helyzet: a válaszadók 54% -a elismerte, hogy nem mindig ellenőrzi a könyvtárkód licencét, mielőtt integrálná a termékébe. A válaszadók mindössze 27% -a gyakorolja a licencek kompatibilitásának kötelező ellenőrzését.
Végül, ha többet szeretne megtudni a Veracode által végzett tanulmányról, olvassa el a részleteket A következő linken.
Gyakori, hogy az összekapcsolás helyett könyvtárat helyezünk el a helyi fájlrendszerbe, mivel néha megváltozik a hivatkozás és a funkcionalitás elvész.