Prieš kelias dienas „Veracode“ (programų saugos įmonė) paviešino per tinklaraščio įrašą, saugumo problemų, kurias sukelia atviro kodo bibliotekų sujungimas, tyrimas programose.
Nuskaityta 86 79 saugyklų ir atlikta beveik XNUMX kūrėjų apklausa, nustatyta, kad XNUMX% trečiųjų šalių bibliotekos projektų, perkeltų į kodą, vėliau niekada nebeatnaujinami.
„Veracode“ atkreipia dėmesį į savo darbo kambaryjearba kad pagrindinė problema susijusios su saugumo problemomis programose, kurios naudoti atvirojo kodo bibliotekas, o ne dinamiškai jas susieti, daug įmonių jie tiesiog apima reikalingų bibliotekų savo projektuose, neatsižvelgiant į galimus vėliau šiose bibliotekose rastus klaidų atnaujinimus ar sprendimus.
Tuo pačiu metu pažymi, kad pasenęs bibliotekos kodas kelia saugumo problemų ir kad šis tyrimas rodo, kad maždaug 92% atvejų galima išvengti paprasčiausiai atnaujinant bibliotekos kodą.
Šiandien mes skelbiame savo metinės programinės įrangos būklės ataskaitos atvirojo kodo leidimą. Daugiausia dėmesio skiriant atvirojo kodo bibliotekų saugumui, ataskaitoje pateikiama 13 milijonų nuskaitymų iš daugiau nei 86.000 301.000 saugyklų, kuriose yra daugiau nei XNUMX XNUMX unikalių bibliotekų, analizė.
Praėjusių metų atvirojo šaltinio leidimo ataskaitoje apžvelgėme atvirojo kodo bibliotekų naudojimo ir saugumo apžvalgą. Šiais metais mes peržengėme taško momento vaizdą, norėdami ištirti bibliotekos kūrimo dinamiką ir tai, kaip kūrėjai reaguoja į bibliotekos pokyčius, įskaitant klaidų atradimą.
neskaitant to pasiteisinimas, kad bibliotekos nėra atnaujinamos, Tai priklauso į galimą suderinamumo gedimą kurie dažniausiai nepagrįsti. Susidūrę su tokiais pasiteisinimais „Veracode“ įrodė priešingai tyrime, kad apie 69% tiriamų atvejų, sakė, kad pažeidimai buvo pašalinti pataisų leidimuose kurie nebuvo susiję su funkcionalumo pokyčiais.
Ataskaita atskleidžia, kad nors atvirojo kodo bibliotekos yra beveik visos programinės įrangos pagrindas, tai nėra tvirtas pagrindas, bet nuolat besikeičiantis ir besikeičiantis pagrindas. Tačiau kūrimo praktika ne visada prisitaiko prie dinamiško šių bibliotekų pobūdžio, todėl organizacijos tampa neapsaugotos.
Tambienas pamini, kad poveikį taip pat daro informuodami kūrėjus apie pažeidžiamumų atsiradimą: sKūrėjams buvo pranešta problemos bibliotekoje, 17% atvejų problema buvo išspręsta per valandą ir 25% per savaitę.
Jei buvo informacijos apie tai, kaip dėl bibliotekos pažeidžiamumo gali būti pažeista programa, 50% atvejų pleistras buvo išleistas per tris savaites, o nepateikus informacijos, pažeidžiamumas turėjo būti palauktas 7 ar daugiau mėnesių.
Ketvirtadalis dalies apklaustų kūrėjų teigė, kad renkantis biblioteką įdėti, pagrindinis dėmesys skiriamas funkcionalumui ir kodų licencijas, ir tik tada svarstomas saugumas.
Mes apžvelgiame populiariausias bibliotekas 2019 m. Ir 2020 m., Taip pat populiariausias bibliotekas, kuriose yra žinomų pažeidžiamumų 2019 m. Ir 2020 m. Apatinė eilutė: galite įtraukti atvirojo kodo bibliotekų naudojimą į dalykų, kurie labai pasikeitė, sąrašą 2020. Kas karšta ir kas ne, o kas saugu ir kas ne, greitai keičiasi.
Reikėtų pažymėti, kad padėtis tikrinant kodo licenciją nėra geresnė: 54% respondentų pripažino, kad ne visada patikrina bibliotekos kodo licenciją prieš integruodami ją į savo produktą. Tik 27% respondentų praktikuoja privalomą licencijų suderinamumo patikrinimą.
Galiausiai, jei norite sužinoti daugiau apie „Veracode“ atliktą tyrimą, galite sužinoti išsamią informaciją Šioje nuorodoje.
Paprastai vietoj susiejimo biblioteka dedama į vietinę failų sistemą, nes kartais nuoroda keičiasi ir prarandama funkcionalumas.