Қауіпсіздік мәселелері үшінші тарап кітапханаларын пайдаланудан да туындайды

Бірнеше күн бұрын Веракод (қолданбалы қауіпсіздік компаниясы) мәлім етті блог арқылы, ашық бастапқы кітапханалардың бірігуінен туындаған қауіпсіздік проблемалары туралы зерттеу қосымшаларда.

86 репозитарийді сканерлеу және 79-ға жуық әзірлеушілердің сауалнамасы нәтижесінде үшінші тараптың кітапхана жобаларының XNUMX% -ы ешқашан жаңартылмайтындығы анықталды.

Веракод көрсетеді оның жұмысынданемесе басты мәселе қосымшалардағы қауіпсіздік мәселелерімен байланысты ашық кітапханаларды пайдалану - оларды динамикалық байланыстырудың орнына, көптеген компаниялар олар жай ғана қамтиды мүмкін болатын жаңартуларды немесе кейінірек осы кітапханаларда табылған қателерді шешуді ескермей, сіздің жобаларыңыздағы қажетті кітапханалар.

Сонымен қатар, ескі кітапхана коды қауіпсіздік мәселелерін тудыратынын ескертеді және бұл зерттеуде бұл жағдайлардың 92% -ын кітапхана кодын жаңарту арқылы болдырмауға болатындығын көрсетеді.

Бүгін біз бағдарламалық қамтамасыз етудің жай-күйі туралы жылдық есебіміздің ашық бастапқы нұсқасын шығарамыз. Тек қана ашық бастапқы кітапханалардың қауіпсіздігіне назар аудара отырып, есепте 13-ден астам репозиторийлердің 86.000-нан астам бірегей кітапханаларын қамтитын 301.000 миллион сканерлеуді талдау бар.

Былтырғы ашық дереккөздер басылымында біз ашық бастапқы кітапханаларды пайдалану мен қауіпсіздіктің суретін қарастырдық. Биылғы жылы біз кітапхананың даму динамикасын және әзірлеушілердің кітапханадағы өзгерістерге, оның ішінде қателерді табуға қалай қарайтынын тексеру үшін уақытылы түсірілімнен өттік.

Сонымен қатар кітапханалар жаңартылмайды деген сылтаулар, Бұл байланысты ықтимал үйлесімділік ақаулығына дейін негізінен негізсіз. Осындай сылтаулармен бетпе-бет келді Веракод керісінше екенін дәлелдеді олардың зерттеулерінде шамамен 69% зерттелген, осалдықтар патч-релиздерде түзетілгенін айтты функционалдылықтың өзгеруіне байланысты емес.

 Есепте ашық кітапханалар барлық дерлік бағдарламалық жасақтаманың негізі болғанымен, бұл сенімді негіз емес, керісінше үнемі дамып, өзгеріп отыратын негіз екендігі анықталды. Алайда даму практикасы әрдайым бұл кітапханалардың динамикалық сипатына бейімделе бермейді, бұл ұйымдарды ашық қалдырады. 

Тамбиян әсер әзірлеушілерді ақпараттандыру арқылы да жүретіндігін ескертеді осалдықтардың пайда болуы туралы:мен әзірлеушілерге хабарлама жіберілді Кітапханадағы мәселелер 17% жағдай шешілді бір сағатта және 25% бір аптада.

Егер кітапханадағы осалдықтың қосымшаны қалай бұзуы мүмкін екендігі туралы ақпарат болған болса, онда 50% жағдайда патч үш апта ішінде босатылды, ал ақпарат бермей, осалдықты жою 7 ай немесе одан да көп күтуге мәжбүр болды.

Төрттен бір бөлігі Сауалнамаға қатысқан зерттеушілер кітапхананы таңдау кезінде бұл туралы айтты ендіру, басты назар функционалдылыққа аударылады және кодтық лицензиялар, содан кейін ғана қауіпсіздік қарастырылады.

Біз 2019 және 2020 жылдардағы ең танымал кітапханаларды, сондай-ақ 2019 және 2020 жылдардағы осалдығы бар ең танымал кітапханаларды қарастырамыз. Төменгі жол: сіз ашық кодты кітапханалардың қолданылуын күрт өзгерген нәрселер тізіміне қосуға болады 2020. Ненің ыстық және ненің болмауы, ал ненің қауіпсіз және ненің болмауы тез өзгереді.

Лицензиялық кодты тексерудің жағдайы бұдан да жақсы емес екенін атап өткен жөн: респонденттердің 54% -ы кітапхана кодын өз өніміне енгізбес бұрын лицензияны әрдайым тексере бермейтіндігін мойындады. Респонденттердің тек 27% -ы лицензияның сәйкестігін міндетті түрде тексереді.

Соңында, егер сіз Veracode жүргізген зерттеу туралы көбірек білгіңіз келсе, сіз егжей-тегжейлі кеңес ала аласыз Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Пікір, өз қалдыру

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   luix дижо

    Байланыстырудың орнына кітапхананы жергілікті файлдық жүйеге орналастыру кең таралған, өйткені кейде сілтеме өзгеріп, функционалдығы жоғалады.