Безбедносните проблеми се исто така предизвикани од употребата на библиотеки од трети страни

Пред неколку дена Веракод (компанија за безбедност на апликации) го објави тоа преку објава на блог, студија за безбедносните проблеми предизвикани од инкорпорирање на библиотеки со отворен извор во апликациите.

Како резултат на скенирање на 86 складишта и истражување спроведено на скоро 79 развивачи, утврдено е дека XNUMX% од трети лица библиотечни проекти пренесени на кодот никогаш не се ажурираат.

Веракод укажува во неговата студијаили дека главниот проблем поврзани со безбедносни проблеми во апликациите кои користете библиотеки со отворен извор е тоа наместо да ги поврзувате динамично, многу компании тие само вклучуваат потребните библиотеки во вашите проекти, без да се земат предвид можните ажурирања или решенија за грешки пронајдени подоцна во овие библиотеки.

Во исто време забележува дека застарениот код на библиотеката предизвикува безбедносни проблеми и дека во оваа студија покажува дека околу 92% од случаите може да се избегнат со ажурирање на библиотечниот код.

Денес го објавуваме изданието со отворен извор на нашиот годишен извештај за состојбата на безбедноста на софтверот. Фокусирајќи се исклучиво на безбедноста на библиотеките со отворен извор, извештајот вклучува анализа на 13 милиони скенирања од повеќе од 86.000 301.000 складишта, кои содржат повеќе од XNUMX XNUMX уникатни библиотеки.

Во минатогодишниот извештај за изданието со отворен извор, погледнавме слика од употребата и безбедноста на библиотеките со отворен извор. Оваа година, отидовме подалеку од моментална слика за да ја испитаме динамиката на развојот на библиотеката и како реагираат развивачите на промените во библиотеката, вклучително и откривање на грешки.

покрај тоа изговорите дека библиотеките не се ажурираат, Се должи до можен неуспех на компатибилноста кои главно се неосновани. Соочени со вакви изговори Веракод го докажа спротивното во нивната студија дека околу 69% од студираните случаи, рече дека слабостите се поправени во изданијата на далноводи кои не беа поврзани со промените во функционалноста.

 Извештајот открива дека иако библиотеките со отворен извор се темел на скоро целиот софтвер, тој не е солидна основа, туку постојано се развива и менува темел. Сепак, развојните практики не секогаш се прилагодуваат на динамичката природа на овие библиотеки, оставајќи ги организациите изложени. 

Исто така споменува дека влијанието се врши и со информирање на развивачите за појавата на ранливости: сјас програмерите беа известени на проблем во библиотеката, во Проблемот бил решен 17% од случаите за еден час и 25% за една недела.

Ако имаше информации за тоа како ранливоста во библиотеката може да доведе до компромис на апликацијата, во 50% од случаите лепенката беше објавена за три недели и без да се обезбедат информации, отстранувањето на ранливоста требаше да почека 7 месеци или повеќе.

Четвртина дел на анкетираните програмери велат дека при изборот на библиотека да се вгради, главниот фокус е на функционалноста и лиценци за кодови, и само тогаш се разгледува безбедноста.

Ги разгледуваме најпопуларните библиотеки во 2019 година наспроти 2020 година, како и најпопуларните библиотеки со познати ранливости во 2019 година наспроти 2020 година. Заклучок: можете да додадете употреба на библиотеки со отворен извор на списокот на работи што драматично се променија во 2020. Што е топло, а што не, и што е безбедно, а што не, брзо се менува.

Треба да се напомене дека состојбата со проверка на лиценцата за кодови не е подобра: 54% од испитаниците признаа дека не секогаш ја потврдуваат лиценцата за библиотечен код пред да ја интегрираат во нивниот производ. Само 27% од испитаниците практикуваат задолжителна проверка на компатибилноста на лиценцата.

Конечно, ако сте заинтересирани да дознаете повеќе за студијата спроведена од Веракод, можете да ги консултирате деталите На следниот линк.


Содржината на статијата се придржува до нашите принципи на уредничка етика. За да пријавите грешка, кликнете овде.

Коментар, оставете го вашиот

Оставете го вашиот коментар

Вашата е-маил адреса нема да бидат објавени.

*

*

  1. Одговорен за податоците: Мигел Анхел Гатон
  2. Цел на податоците: Контролирајте СПАМ, управување со коментари.
  3. Легитимација: Ваша согласност
  4. Комуникација на податоците: Податоците нема да бидат соопштени на трети лица освен со законска обврска.
  5. Складирање на податоци: База на податоци хостирани од Occentus Networks (ЕУ)
  6. Права: Во секое време можете да ги ограничите, вратите и избришете вашите информации.

  1.   Луикс dijo

    Вообичаено е да се постави библиотека на локалниот датотечен систем наместо поврзување, бидејќи понекогаш врската се менува и функционалноста се губи.

бул (точно)