Beberapa hari yang lalu Kode Vera (sebuah perusahaan keamanan aplikasi) membuatnya dikenal melalui postingan blog, sebuah studi tentang masalah keamanan yang disebabkan oleh penggabungan perpustakaan sumber terbuka dalam aplikasi.
Sebagai hasil dari pemindaian 86 repositori dan survei terhadap hampir 79 pengembang, ditentukan bahwa XNUMX% proyek perpustakaan pihak ketiga yang ditransfer ke kode tidak pernah diperbarui.
Kode Vera menunjukkan di ruang belajarnyaatau itu masalah utama terkait dengan masalah keamanan dalam aplikasi yang menggunakan perpustakaan sumber terbuka adalah alih-alih menautkannya secara dinamis, banyak perusahaan mereka hanya menyertakan pustaka yang diperlukan dalam proyek Anda, tanpa memperhitungkan kemungkinan pembaruan atau solusi untuk kesalahan yang ditemukan nanti di pustaka ini.
Pada saat bersamaan, perhatikan bahwa kode perpustakaan yang kedaluwarsa menyebabkan masalah keamanan dan dalam penelitian ini menunjukkan bahwa sekitar 92% kasus dapat dihindari hanya dengan memperbarui kode perpustakaan.
Hari ini kami menerbitkan edisi open source dari laporan tahunan State of Software Security kami. Berfokus secara eksklusif pada keamanan perpustakaan sumber terbuka, laporan ini mencakup analisis 13 juta pemindaian dari lebih dari 86.000 repositori, yang berisi lebih dari 301.000 perpustakaan unik.
Dalam laporan edisi sumber terbuka tahun lalu, kami melihat cuplikan penggunaan dan keamanan perpustakaan sumber terbuka. Tahun ini, kami melampaui snapshot point-in-time untuk memeriksa dinamika pengembangan perpustakaan dan bagaimana pengembang bereaksi terhadap perubahan perpustakaan, termasuk penemuan bug.
Selain itu alasan perpustakaan tidak diperbarui, Sudah jatuh tempo untuk kemungkinan kegagalan kompatibilitas yang sebagian besar tidak berdasar. Dihadapkan dengan alasan semacam ini Veracode membuktikan sebaliknya dalam penelitian mereka bahwa sekitar 69% dari kasus yang diteliti, mengatakan kerentanan diperbaiki dalam rilis tambalan yang tidak terkait dengan perubahan fungsi.
Laporan tersebut mengungkapkan bahwa sementara perpustakaan open source adalah dasar dari hampir semua perangkat lunak, itu bukan dasar yang kuat, melainkan sebuah dasar yang terus berkembang dan berubah. Namun, praktik pengembangan tidak selalu beradaptasi dengan sifat dinamis perpustakaan ini, membuat organisasi terekspos.
Juga menyebutkan bahwa dampaknya juga diberikan dengan memberi tahu pengembang pada penampilan kerentanan: ssaya para pengembang diberitahu masalah di perpustakaan, di, 17% kasus masalah terpecahkan dalam satu jam dan 25% dalam seminggu.
Jika ada informasi tentang bagaimana kerentanan di perpustakaan dapat menyebabkan kompromi aplikasi, dalam 50% kasus patch dirilis dalam tiga minggu, dan tanpa memberikan informasi, penghapusan kerentanan harus menunggu 7 bulan atau lebih.
Seperempat bagian pengembang yang disurvei mengatakan bahwa ketika memilih perpustakaan untuk menanamkan, fokus utamanya adalah pada fungsionalitas dan lisensi kode, dan baru kemudian keamanan dipertimbangkan.
Kami melihat perpustakaan paling populer di 2019 vs. 2020, serta perpustakaan paling populer dengan kerentanan yang diketahui di 2019 vs. 2020. Intinya: Anda dapat menambahkan penggunaan perpustakaan sumber terbuka ke daftar hal-hal yang berubah secara dramatis di 2020. Apa yang panas dan apa yang tidak, dan apa yang aman dan apa yang tidak, berubah dengan cepat.
Perlu dicatat bahwa situasi dengan verifikasi lisensi kode tidak lebih baik: 54% responden mengakui bahwa mereka tidak selalu memverifikasi lisensi untuk kode perpustakaan sebelum mengintegrasikannya ke dalam produk mereka. Hanya 27% responden yang melakukan verifikasi kompatibilitas lisensi wajib.
Terakhir, jika Anda tertarik untuk mengetahui lebih banyak tentang studi yang dilakukan oleh Veracode, Anda dapat berkonsultasi dengan detailnya Di tautan berikut.
Adalah umum untuk menempatkan pustaka pada sistem file lokal alih-alih menautkan, karena terkadang tautan berubah dan fungsionalitasnya hilang.