Beberapa hari yang lalu Kata laluan (syarikat keselamatan aplikasi) menjadikannya diketahui melalui catatan blog, kajian mengenai masalah keselamatan yang disebabkan oleh penggabungan perpustakaan sumber terbuka dalam aplikasi.
Hasil daripada mengimbas 86 repositori dan tinjauan hampir 79 pemaju, ditentukan bahawa XNUMX% projek perpustakaan pihak ketiga yang dipindahkan ke kod tidak akan dikemas kini.
Kata laluan menegaskan dalam kajiannyaatau bahawa masalah utama dikaitkan dengan masalah keselamatan dalam aplikasi yang gunakan perpustakaan sumber terbuka adalah bukannya menghubungkannya secara dinamik, banyak syarikat mereka hanya merangkumi perpustakaan yang diperlukan dalam projek anda, tanpa mengambil kira kemungkinan kemas kini atau penyelesaian untuk kesilapan yang terdapat kemudian di perpustakaan ini.
Pada masa yang sama menyatakan bahawa kod perpustakaan usang menyebabkan masalah keselamatan dan bahawa dalam kajian ini menunjukkan bahawa sekitar 92% kes dapat dielakkan hanya dengan mengemas kini kod perpustakaan.
Hari ini kami menerbitkan edisi sumber terbuka laporan Keselamatan Perisian Tahunan kami. Memfokuskan secara eksklusif pada keselamatan perpustakaan sumber terbuka, laporan itu merangkumi analisis 13 juta imbasan dari lebih dari 86.000 repositori, yang mengandungi lebih dari 301.000 perpustakaan unik.
Dalam laporan edisi sumber terbuka tahun lalu, kami melihat gambaran mengenai penggunaan dan keselamatan perpustakaan sumber terbuka. Tahun ini, kami melampaui snapshot tepat waktu untuk meneliti dinamika pengembangan perpustakaan dan bagaimana pembangun bertindak balas terhadap perubahan perpustakaan, termasuk penemuan bug.
selain itu alasan bahawa perpustakaan tidak dikemas kini, Ia dijelaskan kemungkinan kegagalan keserasian yang kebanyakannya tidak berasas. Menghadapi pelbagai alasan Veracode membuktikan sebaliknya dalam kajian mereka bahawa sekitar 69% kes yang dikaji, mengatakan kelemahan diperbaiki dalam pelepasan patch yang tidak berkaitan dengan perubahan fungsi.
Laporan itu mengungkapkan bahawa walaupun perpustakaan sumber terbuka adalah asas hampir semua perisian, ia bukan asas yang kukuh, melainkan asas yang sentiasa berubah dan berubah. Walau bagaimanapun, amalan pembangunan tidak selalu menyesuaikan diri dengan sifat dinamik perpustakaan ini, menjadikan organisasi terdedah.
Juga menyebutkan bahawa kesannya juga dilakukan dengan memberi maklumat kepada pembangun mengenai kemunculan kerentanan: si pemaju diberitahu masalah di perpustakaan, di 17% kes masalah diselesaikan dalam satu jam dan 25% dalam seminggu.
Sekiranya terdapat maklumat mengenai bagaimana kerentanan di perpustakaan dapat menyebabkan kompromi aplikasi, dalam 50% kes patch dilepaskan dalam tiga minggu, dan tanpa memberikan maklumat, penghapusan kerentanan harus menunggu 7 bulan atau lebih.
Bahagian seperempat pemaju yang disurvei mengatakan bahawa ketika memilih perpustakaan untuk menanam fokus utama adalah pada fungsi dan lesen kod, dan barulah keselamatan dipertimbangkan.
Kami melihat perpustakaan paling popular pada tahun 2019 berbanding 2020, serta perpustakaan yang paling popular dengan kelemahan yang diketahui pada tahun 2019 berbanding 2020. Intinya: anda boleh menambahkan penggunaan perpustakaan sumber terbuka ke senarai perkara yang berubah secara dramatik 2020. Apa yang panas dan apa yang tidak, dan apa yang selamat dan yang tidak, berubah dengan cepat.
Harus diingat bahawa keadaan dengan pengesahan lesen kod tidak lebih baik: 54% responden mengaku bahawa mereka tidak selalu mengesahkan lesen untuk kod perpustakaan sebelum mengintegrasikannya ke dalam produk mereka. Hanya 27% responden yang melakukan pengesahan keserasian lesen mandatori.
Akhirnya, jika anda berminat untuk mempelajari lebih lanjut mengenai kajian yang dilakukan oleh Veracode, anda boleh melihat perinciannya Dalam pautan berikut.
Adalah biasa meletakkan pustaka pada sistem fail tempatan dan bukannya memautkan, kerana kadang-kadang pautan berubah dan fungsi hilang.