보안 문제는 타사 라이브러리를 사용하여도 발생합니다.

며칠 전 베라코드 (어플리케이션 보안 회사) 그것을 알렸다 블로그 게시물을 통해 오픈소스 라이브러리 도입으로 인한 보안 문제 연구 응용 프로그램에서.

86개의 리포지토리를 스캔하고 거의 79명의 개발자를 대상으로 한 설문조사 결과, 코드로 전송된 타사 라이브러리 프로젝트의 XNUMX%가 이후에 업데이트되지 않는 것으로 확인되었습니다.

베라코드 지적하다 그의 연구에서또는 그 주요 문제 응용 프로그램의 보안 문제와 관련된 오픈 소스 라이브러리를 사용하는 것은 동적으로 링크하는 대신, 많은 기업 그들은 단지 포함 이러한 라이브러리에서 나중에 발견되는 오류에 대한 가능한 업데이트 또는 솔루션을 고려하지 않고 프로젝트에 필요한 라이브러리.

동시에, 오래된 라이브러리 코드는 보안 문제를 일으킴 그리고 이 연구에서 약 92%의 경우가 단순히 라이브러리 코드를 업데이트함으로써 피할 수 있음을 보여줍니다.

오늘 우리는 연례 소프트웨어 보안 현황 보고서의 오픈 소스 버전을 게시합니다. 오픈 소스 라이브러리의 보안에만 초점을 맞춘 이 보고서에는 13개 이상의 고유 라이브러리를 포함하는 86.000개 이상의 리포지토리에서 301.000만 스캔에 대한 분석이 포함되어 있습니다.

작년의 오픈 소스 에디션 보고서에서 우리는 오픈 소스 라이브러리의 사용 및 보안에 대한 스냅샷을 살펴보았습니다. 올해 우리는 특정 시점의 스냅샷을 넘어 라이브러리 개발의 역학과 개발자가 버그 발견을 포함한 라이브러리 변경에 어떻게 반응하는지 조사했습니다.

그 외에 라이브러리가 업데이트되지 않는다는 핑계, 기한 가능한 호환성 실패 대부분 근거가 없는 것입니다. 이런 핑계를 대면 Veracode는 그 반대를 증명했습니다. 그들의 연구에서 연구된 사례의 약 69%, 취약점이 패치 릴리스에서 수정되었다고 말했습니다. 기능 변경과 관련이 없습니다.

 보고서에 따르면 오픈 소스 라이브러리는 거의 모든 소프트웨어의 기반이지만 견고한 기반이 아니라 끊임없이 진화하고 변화하는 기반입니다. 그러나 개발 관행이 이러한 라이브러리의 동적 특성에 항상 적응하는 것은 아니므로 조직이 노출됩니다. 

또한 개발자에게 알리는 것도 영향을 미친다고 언급합니다. 취약점 출현 시: s나는 개발자들에게 알림을 받았다 도서관의 문제, 17%의 경우 문제가 해결되었습니다. 한 시간 안에, 그리고 일주일에 25%.

라이브러리의 취약점이 어떻게 애플리케이션을 손상시킬 수 있는지에 대한 정보가 있는 경우 50%의 경우 패치가 7주 만에 릴리스되었으며 정보를 제공하지 않은 경우 취약점 제거는 XNUMX개월 이상을 기다려야 했습니다.

XNUMX/XNUMX 부분 설문에 응한 개발자의 비율은 라이브러리를 선택할 때 끼워넣다, 주요 초점은 기능에 있습니다 및 코드 라이센스가 있어야만 보안이 고려됩니다.

2019년 대 2020년에 가장 인기 있는 라이브러리와 2019년 대 2020년에 알려진 취약점이 있는 가장 인기 있는 라이브러리를 살펴봅니다. 결론: 오픈 소스 라이브러리의 사용을 2020년에 크게 변경된 사항 목록에 추가할 수 있습니다. XNUMX. 뜨거운 것과 그렇지 않은 것, 안전한 것과 그렇지 않은 것은 빠르게 변합니다.

코드 라이선스 확인의 상황은 더 나을 것이 없다는 점에 유의해야 합니다. 응답자의 54%는 라이브러리 코드를 제품에 통합하기 전에 항상 라이선스를 확인하지 않는다는 점을 인정했습니다. 응답자의 27%만이 필수 라이선스 호환성 확인을 실행합니다.

마지막으로 Veracode에서 수행한 연구에 대해 더 알고 싶다면 자세한 내용을 참조하십시오. 다음 링크에서.