तृतीय-पक्षाच्या लायब्ररीच्या वापरामुळे सुरक्षा समस्या देखील उद्भवू शकतात

काही दिवसांपूर्वी वेराकोड (अनुप्रयोग सुरक्षा कंपनी) ते ज्ञात केले ब्लॉग पोस्टद्वारे, ओपन सोर्स लायब्ररीच्या समावेशामुळे उद्भवणार्‍या सुरक्षिततेच्या समस्येवरील अभ्यास अनुप्रयोग मध्ये.

,86 79,००० रेपॉजिटरी स्कॅन करण्याच्या परिणामी आणि जवळपास २,००० विकसकांच्या सर्वेक्षणानुसार हे निश्चित करण्यात आले होते की कोडमध्ये हस्तांतरित केलेल्या तृतीय-पक्षाच्या लायब्ररीपैकी%%% प्रकल्प यापूर्वी कधीही अद्यतनित केले जात नाहीत.

वेराकोड सूचित करा त्याच्या अभ्यासातकिंवा ती मुख्य समस्या आहे अनुप्रयोगांमधील सुरक्षा समस्यांशी संबंधित ओपन सोर्स लायब्ररीचा वापर म्हणजे त्यांना गतीशीलपणे जोडण्याऐवजी, अनेक कंपन्या ते फक्त समाविष्ट या प्रकल्पांमधील आवश्यक अद्यतने किंवा नंतर या लायब्ररीत आढळलेल्या त्रुटींचे निराकरण न करता आपल्या प्रकल्पांमधील आवश्यक ग्रंथालये.

त्याच वेळी कालबाह्य लायब्ररी कोडमुळे सुरक्षा समस्या उद्भवतात आणि या अभ्यासात असे दिसून आले आहे की ग्रंथालयाचा कोड अद्यतनित करून जवळपास% २% प्रकरणे टाळता येऊ शकतात.

आज आम्ही आमच्या वार्षिक राज्य सुरक्षा सॉफ्टवेअर अहवालाची ओपन सोर्स आवृत्ती प्रकाशित करतो. ओपन सोर्स लायब्ररीच्या सुरक्षिततेवरच लक्ष केंद्रित करून अहवालात ,13 86.000,००० पेक्षा जास्त रेपॉजिटरीजच्या १ million दशलक्ष स्कॅनचे विश्लेषण समाविष्ट करण्यात आले असून त्यात 301.000०१,००० हून अधिक अद्वितीय ग्रंथालये आहेत.

मागील वर्षाच्या ओपन सोर्स आवृत्तीच्या अहवालात आम्ही ओपन सोर्स लायब्ररीच्या वापर आणि सुरक्षिततेचा स्नॅपशॉट पाहिला. या वर्षी, आम्ही लायब्ररीच्या विकासाची गती आणि बग डिस्कव्हरीसह ग्रंथालयातील बदलांवर विकसकांची प्रतिक्रिया कशी आहे हे तपासण्यासाठी पॉईंट-इन-टाइम स्नॅपशॉटच्या पलीकडे गेलो.

त्याच्या बाजूला लायब्ररी अद्ययावत नसल्याचे निमित्त, ते देय आहे संभाव्य सुसंगतता अयशस्वी जे बहुतेक निराधार असतात. या प्रकारच्या सबबींना सामोरे जावे लागले वेरकोडने उलट सिद्ध केले त्यांच्या अभ्यासात असे आढळले आहे की सुमारे%%% प्रकरणांचा अभ्यास पॅच रीलिझमध्ये असुरक्षा निश्चित केल्या आहेत जे कार्यक्षमतेतील बदलांशी संबंधित नव्हते.

 अहवालात असे दिसून आले आहे की ओपन सोर्स लायब्ररी जवळजवळ सर्व सॉफ्टवेअरचा पाया आहेत, परंतु ती एक भक्कम पाया नव्हे तर निरंतर विकसित होत आणि बदलत जाणारी पाया आहे. तथापि, विकास पद्धती या लायब्ररीच्या गतीशील स्वरूपाशी नेहमीच जुळवून घेत नसल्यामुळे संस्था उघडकीस पडतात. 

तांबियन विकासकांना कळवूनही त्याचा प्रभाव पाडल्याचे नमूद केले असुरक्षा देखावा वर: चेमी विकसकांना सूचित केले मध्ये, लायब्ररीत समस्या आहे 17% प्रकरणांची समस्या सुटली एका तासात आणि आठवड्यात 25%.

ग्रंथालयात असुरक्षिततेमुळे एखाद्या अनुप्रयोगाशी तडजोड कशी होऊ शकते याबद्दल माहिती असल्यास, 50% प्रकरणांमध्ये पॅच तीन आठवड्यांत सोडला गेला आणि माहिती न देता, असुरक्षा काढण्यासाठी 7 महिने किंवा त्याहून अधिक काळ थांबावे लागले.

चतुर्थांश भाग सर्वेक्षण केलेल्या विकसकांनी असे सांगितले की ग्रंथालय निवडताना एम्बेड करण्यासाठी, मुख्य लक्ष कार्यक्षमतेवर आहे आणि कोड परवाने आणि त्यानंतरच सुरक्षिततेचा विचार केला जाईल.

आम्ही २०१२ मध्ये २०२० मधील सर्वाधिक लोकप्रिय लायब्ररी तसेच 2019 वि 2020 मधील ज्ञात असुरक्षा असलेल्या सर्वात लोकप्रिय लायब्ररी पाहतो. तळ ओळ: आपण नाटकात बदललेल्या गोष्टींच्या सूचीमध्ये मुक्त स्त्रोत लायब्ररीचा वापर जोडू शकता. 2019. काय चर्चेत आहे आणि काय नाही आणि काय सुरक्षित आहे आणि काय नाही, द्रुतपणे बदलते.

हे नोंद घ्यावे की कोड परवाना पडताळणीची परिस्थिती यापेक्षा चांगली नाही: ents respond% लोकांनी कबूल केले की ते त्यांच्या उत्पादनात समाकलित करण्यापूर्वी लायब्ररी कोडचा परवाना नेहमी सत्यापित करत नाहीत. केवळ 54% उत्तरदाता अनिवार्य परवाना सुसंगतता पडताळणीचा सराव करतात.

शेवटी, जर आपल्याला वेराकोडने केलेल्या अभ्यासाबद्दल अधिक जाणून घेण्यास स्वारस्य असेल तर आपण तपशीलांचा सल्ला घेऊ शकता पुढील लिंकवर


एक टिप्पणी, आपले सोडून द्या

आपली टिप्पणी द्या

आपला ई-मेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित केले आहेत *

*

*

  1. डेटा जबाबदार: मिगुएल Áन्गल गॅटन
  2. डेटाचा उद्देशः नियंत्रण स्पॅम, टिप्पणी व्यवस्थापन.
  3. कायदे: आपली संमती
  4. डेटा संप्रेषण: कायदेशीर बंधन वगळता डेटा तृतीय पक्षास कळविला जाणार नाही.
  5. डेटा संग्रहण: ओकेन्टस नेटवर्क (EU) द्वारा होस्ट केलेला डेटाबेस
  6. अधिकारः कोणत्याही वेळी आपण आपली माहिती मर्यादित, पुनर्प्राप्त आणि हटवू शकता.

  1.   ल्यूक्स म्हणाले

    लिंक करण्याऐवजी स्थानिक फाइल सिस्टमवर लायब्ररी ठेवणे सामान्य आहे, कारण कधीकधी दुवा बदलतो आणि कार्यशीलता गमावते.