לפני כמה ימים veracode (חברת אבטחת יישומים) הודיע על כך באמצעות פוסט בבלוג, מחקר על בעיות האבטחה הנגרמות משילוב ספריות קוד פתוח ביישומים.
כתוצאה מסריקת 86 מאגרים וסקר של כמעט 79 מפתחים, נקבע כי XNUMX% מפרויקטי הספרייה של צד שלישי שהועברו לקוד לעולם לא יעודכנו לאחר מכן.
veracode מציין בחדר העבודה שלואו שזו הבעיה העיקרית הקשורים לבעיות אבטחה ביישומים ש להשתמש בספריות קוד פתוח הוא שבמקום לקשר אותן באופן דינמי, חברות רבות הם פשוט כוללים את הספריות הדרושות בפרויקטים שלך, מבלי לקחת בחשבון עדכונים או פתרונות אפשריים לשגיאות שנמצאו מאוחר יותר בספריות אלה.
יחד עם זאת, מציין שקוד הספריה המיושן גורם לבעיות אבטחה וכי במחקר זה עולה כי ניתן להימנע מכ- 92% מהמקרים פשוט על ידי עדכון קוד הספרייה.
היום אנו מפרסמים את מהדורת הקוד הפתוח של הדוח השנתי שלנו בנושא אבטחת תוכנה. הדוח מתמקד אך ורק באבטחת ספריות קוד פתוח, וכולל ניתוח של 13 מיליון סריקות מיותר מ -86.000 מאגרים, המכילים יותר מ -301.000 ספריות ייחודיות.
בדוח המהדורה הקודמת של השנה שעברה בדקנו תמונת מצב של השימוש והאבטחה של ספריות קוד פתוח. השנה, חרגנו מתמונת נקודת זמן בכדי לבחון את הדינמיקה של פיתוח הספריות וכיצד מפתחים מגיבים לשינויים בספריה, כולל גילוי באגים.
חוץ מזה התירוצים שספריות אינן מעודכנות, זה בשל לכישלון תאימות אפשרי שרובם מופרכים. מול תירוצים מסוג זה ורקוד הוכיחה את ההיפך במחקרם שכ- 69% מהמקרים שנחקרו, אמרו כי נקודות תורפה תוקנו במהדורות תיקון שלא היו קשורים לשינויים בפונקציונליות.
הדו"ח מגלה כי בעוד שספריות קוד פתוח הן היסוד של כמעט כל התוכנות, אך לא מדובר בבסיס איתן, אלא בבסיס המתפתח ומשתנה כל הזמן. עם זאת, נוהלי פיתוח לא תמיד מסתגלים לאופי הדינמי של ספריות אלה, ומשאירים ארגונים חשופים.
טמביאן מזכיר כי ההשפעה מופעלת גם על ידי ידיעה למפתחים על הופעת פגיעות: סאני קיבלו הודעה למפתחים של בעיה בספריה, ב 17% מהמקרים הבעיה נפתרה תוך שעה ו- 25% בשבוע.
אם היה מידע על האופן שבו פגיעות בספרייה עלולה להוביל לפגיעה ביישום, ב -50% מהמקרים התיקון שוחרר תוך שלושה שבועות, וללא מסירת מידע, הסרת הפגיעות נאלצה להמתין 7 חודשים ויותר.
רבע חלק מהמפתחים שנחקרו אמרו כי בבחירת ספרייה לשבץ, ההתמקדות העיקרית היא בפונקציונליות ורשיונות קוד, ורק אז נשקלת אבטחה.
אנו בוחנים את הספריות הפופולריות ביותר בשנת 2019 לעומת 2020, כמו גם את הספריות הפופולריות ביותר עם נקודות תורפה ידועות בשנת 2019 לעומת 2020. בשורה התחתונה: ניתן להוסיף את השימוש בספריות קוד פתוח לרשימת הדברים שהשתנו באופן דרמטי ב 2020. מה חם ומה לא, ומה בטוח ומה לא, משתנה במהירות.
יש לציין כי המצב עם אימות רישיון קוד אינו טוב יותר: 54% מהנשאלים הודו כי הם לא תמיד מאמתים את הרישיון לקוד הספריה לפני שילובו במוצר שלהם. רק 27% מהנשאלים נוהגים לאמת חובת תאימות רישיונות.
לבסוף, אם אתה מעוניין לדעת יותר על המחקר שביצעה Veracode, תוכל להתייעץ עם הפרטים בקישור הבא.
מקובל להציב ספרייה על מערכת הקבצים המקומית במקום לקשר, מכיוון שלעתים הקישור משתנה והפונקציונליות הולכת לאיבוד.