Pirms dažām dienām Verakods (lietojumprogrammu drošības uzņēmums) darīja to zināmu izmantojot emuāra ziņojumu, pētījums par drošības problēmām, ko rada atvērtā pirmkoda bibliotēku iekļaušana lietojumprogrammās.
86 79 krātuvju skenēšanas un gandrīz XNUMX izstrādātāju aptaujas rezultātā tika noteikts, ka XNUMX% trešo personu bibliotēku projektu, kas tiek pārnesti uz kodu, vēlāk nekad netiek atjaunināti.
Verakods norāda savā kabinetāvai ka galvenā problēma kas saistītas ar drošības problēmām lietojumprogrammās, kuras Izmantojiet atvērtā pirmkoda bibliotēkas, nevis dinamiski saistot tās, daudzi uzņēmumi tie vienkārši ietver nepieciešamās bibliotēkas savos projektos, neņemot vērā vēlāk šajās bibliotēkās atrastos iespējamos atjauninājumus vai kļūdu risinājumus.
Tajā pašā laikā atzīmē, ka novecojis bibliotēkas kods rada drošības problēmas un ka šajā pētījumā tas parāda, ka apmēram 92% gadījumu var izvairīties, vienkārši atjauninot bibliotēkas kodu.
Šodien mēs publicējam mūsu ikgadējā programmatūras drošības pārskata atvērtā pirmkoda izdevumu. Koncentrējoties tikai uz atvērtā pirmkoda bibliotēku drošību, ziņojumā ir analizēta 13 miljoni skenējumu no vairāk nekā 86.000 301.000 krātuvēm, kurās ir vairāk nekā XNUMX XNUMX unikālu bibliotēku.
Pagājušā gada atklātā pirmkoda izdevuma pārskatā mēs apskatījām momentuzņēmumu par atvērtā pirmkoda bibliotēku izmantošanu un drošību. Šogad mēs izgājām ārpus momentuzņēmuma, lai pārbaudītu bibliotēkas attīstības dinamiku un to, kā izstrādātāji reaģē uz bibliotēkas izmaiņām, tostarp kļūdu atklāšanu.
Bez tam attaisnojums, ka bibliotēkas netiek atjauninātas, Tas pienākas līdz iespējamai saderības kļūmei kas pārsvarā ir nepamatoti. Saskaroties ar šāda veida attaisnojumiem Veracode pierādīja pretējo pētījumā, ka apmēram 69% pētīto gadījumu, teica, ka ievainojamība tika novērsta plākstera izlaidumos kas nebija saistīti ar funkcionalitātes izmaiņām.
Ziņojums atklāj, ka, lai gan atvērtā koda bibliotēkas ir gandrīz visas programmatūras pamats, tas nav stabils pamats, bet gan pamats, kas nepārtraukti attīstās un mainās. Tomēr attīstības prakse ne vienmēr pielāgojas šo bibliotēku dinamiskajam raksturam, atstājot organizācijas atklātas.
Arī min, ka ietekmi ietekmē arī izstrādātāju informēšana par ievainojamību parādīšanos: si izstrādātājiem tika paziņots par problēmu bibliotēkā, 17% gadījumu problēma tika atrisināta stundas laikā un 25% nedēļā.
Ja bija informācija par to, kā bibliotēkas ievainojamība var izraisīt lietojumprogrammas kompromitēšanu, 50% gadījumu plāksteris tika izlaists trīs nedēļu laikā, un, nesniedzot informāciju, ievainojamības novēršana bija jāgaida 7 vai vairāk mēnešus.
Ceturtdaļa daļas no aptaujātajiem izstrādātājiem teica, ka, izvēloties bibliotēku iegult, galvenā uzmanība tiek pievērsta funkcionalitātei un kodu licences, un tikai pēc tam tiek apsvērta drošība.
Mēs aplūkojam populārākās bibliotēkas 2019. gadā salīdzinājumā ar 2020. gadu, kā arī populārākās bibliotēkas ar zināmām ievainojamībām 2019. gadā salīdzinājumā ar 2020. gadu. Apakšējā līnija: atvērto pirmkoda bibliotēku izmantošanu varat pievienot to lietu sarakstam, kuras 2020. Kas ir karsts un kas ne, un kas ir drošs un kas nav, tas ātri mainās.
Jāatzīmē, ka situācija ar koda licences pārbaudi nav labāka: 54% respondentu atzina, ka ne vienmēr pārbauda bibliotēkas koda licenci, pirms to integrē savā produktā. Tikai 27% respondentu praktizē obligātu licenču saderības pārbaudi.
Visbeidzot, ja vēlaties uzzināt vairāk par Veracode veikto pētījumu, varat uzzināt sīkāku informāciju Šajā saitē.
Bieži bibliotēku ievieto vietējā failu sistēmā, nevis saiti, jo dažreiz saite mainās un funkcionalitāte tiek zaudēta.