Коопсуздук маселелери үчүнчү тараптын китепканаларын колдонуудан дагы келип чыгууда

Бир нече күн мурун Veracode (тиркеме коопсуздук компаниясы) билдиришти блог аркылуу, ачык булактуу китепканаларды бириктирүүдөн келип чыккан коопсуздук көйгөйлөрү боюнча изилдөө тиркемелерде.

86 репозиторийди сканерлөөнүн жана 79ге жакын иштеп чыгуучулардын сурамжылоосунун натыйжасында, коддорго өткөрүлүп берилген үчүнчү жактын китепкана долбоорлорунун XNUMX% эч качан жаңыртылбай тургандыгы аныкталды.

Veracode упайлар анын окуусундаже негизги көйгөй тиркемелердеги коопсуздук көйгөйлөрү менен байланыштуу ачык булактуу китепканаларды колдонуу, аларды динамикалык байланыштыруунун ордуна, көптөгөн компаниялар алар жөн гана камтыйт кийинчерээк ушул китепканаларда табылган каталарды чечүү жолдорун эске албастан, долбоорлоруңуздагы керектүү китепканаларды.

Ошол эле учурда, эскирген китепкана коду коопсуздук маселелерин жаратарын белгилейт жана бул изилдөөнүн жыйынтыгында, китепкананын кодун жаңыртуу менен, болжол менен 92% учурлардан сактанууга болот.

Бүгүн биз Программалык камсыздоонун абалы боюнча жылдык отчетубуздун ачык булактуу чыгарылышын жарыялайбыз. Жалаң гана ачык булактуу китепканалардын коопсуздугуна көңүл буруп, отчетто 13ден ашуун кампалардагы 86.000ден ашуун уникалдуу китепканаларды камтыган 301.000 миллион сканердик анализ камтылган.

Былтыр ачык булактуу басылма боюнча отчетто биз ачык булактуу китепканалардын колдонулушун жана коопсуздугун чагылдырган. Бул жылы биз китепкананын өнүгүү динамикасын жана иштеп чыгуучулар китепканадагы өзгөрүүлөргө, анын ичинде каталарды табууга кандайча реакция кылып жаткандыгын текшерүү үчүн, убакыттын өтүшүн чагылдырган сүрөттүн чегинен чыктык.

Мындан тышкары китепканалар жаңыланбайт деген шылтоолор, Бул байланыштуу мүмкүн болгон шайкештиктин бузулушуна негизинен негизсиз. Ушундай шылтоолорго туш болдуңуз Веракод мунун тескерисин далилдеди алардын изилдөөлөрүндө болжол менен 69% изилденген, патч-релиздерде кемчиликтер жоюлган деди функционалдык өзгөрүүлөргө байланыштуу эмес.

 Отчетто ачык булактуу китепканалар дээрлик бардык программалык камсыздоонун негизи болгону менен, ал бекем негиз эмес, тескерисинче, ар дайым өнүгүп, өзгөрүп турган пайдубал экендиги аныкталды. Бирок, өнүгүү практикасы ар дайым ушул китепканалардын динамикалык мүнөзүнө ылайыкташа бербей, уюмдарды ачык абалда калтырат. 

también таасири иштеп чыгуучуларга маалымат берүү менен да жасала тургандыгын эскертет аялуу жактардын көрүнүшү жөнүндө:i иштеп чыгуучуларга билдирилген китепканадагы көйгөй жөнүндө Көйгөйдүн 17% чечилди бир саатта жана 25% бир жумада.

Эгерде китепканадагы кемчиликтер тиркемени кандайча компромисске алып келиши мүмкүн экендиги жөнүндө маалымат болсо, анда 50% учурларда үч жуманын ичинде патч бошотулган, ал эми маалымат бербестен, алсыздыкты жоюу үчүн 7 ай же андан көп убакыт күтүүгө туура келген.

Чейрек бөлүгү Сурамжыланган иштеп чыгуучулардын айтымында, китепкананы тандоодо кыстаруу, негизги көңүл функционалдуулукка бурулат жана лицензиялардын коду, ошондо гана коопсуздук каралат.

Биз 2019-жылга жана 2020-жылга салыштырмалуу эң популярдуу китепканаларды, ошондой эле 2019-жылы жана 2020-жылдардагы аялуу катмарлары менен таанымал китепканаларды карайбыз. Төмөнкү сап: сиз кескин өзгөргөн нерселердин катарына ачык булактуу китепканалардын колдонулушун кошсоңуз болот. 2020. Эмне ысык, эмне жок, эмне коопсуз жана эмне тез эмес өзгөрөт.

Белгилей кетүүчү жагдай, лицензиянын кодун текшерүү боюнча кырдаал мындан да жакшы эмес: респонденттердин 54% китепкана кодун өз продуктусуна киргизүүдөн мурун анын лицензиясын текшере бербей тургандыгын мойнуна алышкан. Респонденттердин 27% гана лицензиянын шайкештигин милдеттүү түрдө текшерип жатышат.

Акыр-аягы, сиз Veracode тарабынан жүргүзүлгөн изилдөө жөнүндө көбүрөөк билүү үчүн кызыкдар болсо, анда майда-чүйдөсүнө чейин кайрылууга болот Төмөнкү шилтемеде.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий, өзүңүз калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   luix ал мындай деди:

    Шилтеменин ордуна китепкананы локалдык файл тутумуна жайгаштыруу көп кездешет, анткени кээде шилтеме өзгөрүп, иштөө мүмкүнчүлүгү жоголот.