Qualche giorno fa VeraCode (una società di sicurezza delle applicazioni) lo ha reso noto tramite un post sul blog, uno studio sui problemi di sicurezza causati dall'incorporazione di librerie open source nelle applicazioni.
Come risultato della scansione di 86 repository e di un sondaggio di quasi 79 sviluppatori, è stato stabilito che il XNUMX% dei progetti di librerie di terze parti trasferiti al codice non vengono mai aggiornati successivamente.
VeraCode sottolinea nel suo studioo che il problema principale associati a problemi di sicurezza nelle applicazioni che utilizzare librerie open source è quello invece di collegarle dinamicamente, molte aziende includono semplicemente le librerie necessarie nei tuoi progetti, senza tener conto dei possibili aggiornamenti o soluzioni agli errori riscontrati successivamente in queste librerie.
Allo stesso tempo, rileva che il codice della libreria obsoleto causa problemi di sicurezza e che in questo studio risulta che circa il 92% dei casi può essere evitato semplicemente aggiornando il codice della biblioteca.
Oggi pubblichiamo l'edizione open source del nostro rapporto annuale sullo stato della sicurezza del software. Concentrandosi esclusivamente sulla sicurezza delle librerie open source, il rapporto include l'analisi di 13 milioni di scansioni da oltre 86.000 repository, contenenti più di 301.000 librerie uniche.
Nel rapporto dell'edizione open source dello scorso anno, abbiamo esaminato un'istantanea dell'uso e della sicurezza delle librerie open source. Quest'anno, siamo andati oltre un'istantanea puntuale per esaminare le dinamiche dello sviluppo della libreria e il modo in cui gli sviluppatori reagiscono ai cambiamenti della libreria, inclusa la scoperta di bug.
a parte quello le scuse che le biblioteche non sono aggiornate, È dovuto a un possibile errore di compatibilità che sono per lo più infondate. Di fronte a questo tipo di scuse Veracode ha dimostrato il contrario nel loro studio che circa il 69% dei casi studiati, dette vulnerabilità sono state risolte nelle versioni di patch che non erano legati a cambiamenti di funzionalità.
Il rapporto rivela che mentre le librerie open source sono il fondamento di quasi tutti i software, non è una base solida, ma piuttosto una base in continua evoluzione e cambiamento. Tuttavia, le pratiche di sviluppo non sempre si adattano alla natura dinamica di queste biblioteche, lasciando le organizzazioni esposte.
Pure afferma che l'impatto viene esercitato anche informando gli sviluppatori sulla comparsa di vulnerabilità: sgli sviluppatori sono stati avvisati di un problema in biblioteca, nel 17% dei casi il problema è stato risolto in un'ora e il 25% in una settimana.
Se c'erano informazioni su come una vulnerabilità nella libreria potrebbe portare a compromettere un'applicazione, nel 50% dei casi la patch è stata rilasciata in tre settimane e, senza fornire informazioni, la rimozione della vulnerabilità ha dovuto attendere 7 mesi o più.
Un quarto di parte degli sviluppatori intervistati ha affermato che quando si sceglie una libreria da incorporare, l'obiettivo principale è la funzionalità e licenze di codice, e solo allora viene considerata la sicurezza.
Esaminiamo le librerie più popolari nel 2019 rispetto al 2020, nonché le librerie più popolari con vulnerabilità note nel 2019 rispetto al 2020. In conclusione: puoi aggiungere l'uso di librerie open source all'elenco delle cose che sono cambiate radicalmente in 2020. Ciò che è caldo e ciò che non lo è, e ciò che è sicuro e ciò che non lo è, cambia rapidamente.
Va notato che la situazione con la verifica della licenza del codice non è migliore: il 54% degli intervistati ha ammesso di non verificare sempre la licenza per il codice della libreria prima di integrarla nel proprio prodotto. Solo il 27% degli intervistati pratica la verifica della compatibilità della licenza obbligatoria.
Infine, se sei interessato a saperne di più sullo studio realizzato da Veracode, puoi consultare i dettagli nel seguente link
È comune posizionare una libreria sul file system locale invece del collegamento, poiché a volte il collegamento cambia e la funzionalità viene persa.