何日か前に ベラコード (アプリケーションセキュリティ会社) それを知らせた ブログ投稿を介して、 オープンソースライブラリの組み込みによって引き起こされるセキュリティ問題に関する研究 アプリケーションで。
86のリポジトリをスキャンし、79人近くの開発者を調査した結果、コードに転送されたサードパーティのライブラリプロジェクトのXNUMX%がその後更新されることはないと判断されました。
ベラコード 指摘する 彼の研究でまたはその主な問題 アプリケーションのセキュリティ問題に関連する オープンソースライブラリを使用することは、それらを動的にリンクする代わりに、多くの企業 それらはただ含まれています プロジェクトに必要なライブラリ。これらのライブラリで後で見つかる可能性のある更新やエラーの解決策を考慮していません。
同時に、 古いライブラリコードはセキュリティの問題を引き起こすことに注意してください また、この調査では、ライブラリコードを更新するだけで、ケースの約92%を回避できることが示されています。
本日、年次のState of SoftwareSecurityレポートのオープンソース版を公開します。 オープンソースライブラリのセキュリティのみに焦点を当てたこのレポートには、13を超える固有のライブラリを含む86.000を超えるリポジトリからの301.000万件のスキャンの分析が含まれています。
昨年のオープンソース版レポートでは、オープンソースライブラリの使用とセキュリティのスナップショットを調べました。 今年は、特定の時点のスナップショットを超えて、ライブラリ開発のダイナミクスと、バグの発見を含むライブラリの変更に対する開発者の反応を調べました。
それに加えて ライブラリが更新されていないという言い訳、 期限です 互換性の失敗の可能性 ほとんど根拠がありません。 このような言い訳に直面した Veracodeは反対を証明しました 彼らの研究では、症例の約69%が研究しました。 脆弱性はパッチリリースで修正されたと述べた 機能の変更とは関係ありませんでした。
レポートは、オープンソースライブラリがほとんどすべてのソフトウェアの基盤である一方で、それは強固な基盤ではなく、絶えず進化し変化している基盤であることを明らかにしています。 ただし、開発慣行はこれらのライブラリの動的な性質に常に適応するとは限らず、組織は公開されたままになります。
また 影響は開発者に通知することによっても発揮されると述べています 脆弱性の出現について:s私は開発者に通知されました ライブラリ内の問題の 問題が解決したケースの17% 25時間でXNUMX%、XNUMX週間で。
ライブラリの脆弱性がアプリケーションの侵害につながる可能性があるという情報があった場合、50%の場合、パッチは7週間でリリースされ、情報を提供せずに、脆弱性の排除はXNUMXか月以上待たなければなりませんでした。
四分の一の部分 調査した開発者の割合は、ライブラリを選択するときに 埋め込むために、 主な焦点は機能性です とコードライセンス、そしてその時だけセキュリティが考慮されます。
2019年と2020年の最も人気のあるライブラリと、2019年と2020年の既知の脆弱性を持つ最も人気のあるライブラリを調べます。結論:オープンソースライブラリの使用を、で劇的に変化したもののリストに追加できます。 2020.何がホットで何がそうでないか、そして何が安全で何がそうでないかは急速に変化します。
コードライセンス検証の状況は良くないことに注意する必要があります。回答者の54%は、ライブラリコードを製品に統合する前に、ライブラリコードのライセンスを常に検証するとは限らないことを認めました。 回答者の27%のみが、必須のライセンス互換性検証を実施しています。
最後に、Veracodeが実施した調査について詳しく知りたい場合は、詳細を参照してください。 次のリンクで。
リンクが変更されて機能が失われることがあるため、リンクする代わりにローカルファイルシステムにライブラリを配置するのが一般的です。