Een paar dagen geleden veracode (een applicatiebeveiligingsbedrijf) maakte het bekend via een blogpost, een onderzoek naar de beveiligingsproblemen die worden veroorzaakt door de integratie van open source-bibliotheken bij toepassingen.
Als resultaat van het scannen van 86 repositories en een onderzoek onder bijna 79 ontwikkelaars, werd vastgesteld dat XNUMX% van de bibliotheekprojecten van derden die naar code zijn overgebracht, nooit meer worden bijgewerkt.
veracode wijst erop in zijn studeerkamerof dat het grootste probleem geassocieerd met beveiligingsproblemen in toepassingen die: gebruik open source bibliotheken is dat in plaats van ze dynamisch te koppelen, veel bedrijven ze omvatten gewoon: de benodigde bibliotheken in uw projecten, zonder rekening te houden met eventuele updates of oplossingen voor fouten die later in deze bibliotheken worden gevonden.
Al mismo tiempo, merkt op dat verouderde bibliotheekcode beveiligingsproblemen veroorzaakt en dat uit dit onderzoek blijkt dat ongeveer 92% van de gevallen kan worden vermeden door simpelweg de bibliotheekcode bij te werken.
Vandaag publiceren we de open source-editie van ons jaarlijkse State of Software Security-rapport. Het rapport richt zich uitsluitend op de beveiliging van open source-bibliotheken en bevat analyses van 13 miljoen scans uit meer dan 86.000 repositories, met meer dan 301.000 unieke bibliotheken.
In het open source-editierapport van vorig jaar hebben we gekeken naar een momentopname van het gebruik en de beveiliging van open source-bibliotheken. Dit jaar gingen we verder dan een momentopname om de dynamiek van bibliotheekontwikkeling te onderzoeken en hoe ontwikkelaars reageren op bibliotheekwijzigingen, inclusief het ontdekken van bugs.
Daarnaast de excuses dat bibliotheken niet worden bijgewerkt, Deadline is daar tot een mogelijke compatibiliteitsfout die meestal ongegrond zijn. Geconfronteerd met dit soort excuses Veracode bewees het tegenovergestelde in hun onderzoek dat ongeveer 69% van de bestudeerde gevallen, zei kwetsbaarheden zijn verholpen in patch-releases die niet gerelateerd waren aan veranderingen in functionaliteit.
Het rapport onthult dat hoewel open source-bibliotheken de basis vormen van bijna alle software, het geen solide basis is, maar eerder een basis die voortdurend evolueert en verandert. Ontwikkelingspraktijken passen zich echter niet altijd aan de dynamische aard van deze bibliotheken aan, waardoor organisaties blootgesteld worden.
ook vermeldt dat de impact ook wordt uitgeoefend door ontwikkelaars te informeren over het verschijnen van kwetsbaarheden: sik de ontwikkelaars werden op de hoogte gebracht van een probleem in de bibliotheek, in de 17% van de gevallen was het probleem opgelost in een uur en 25% in een week.
Als er informatie was over hoe een kwetsbaarheid in de bibliotheek zou kunnen leiden tot het compromitteren van een applicatie, werd de patch in 50% van de gevallen binnen drie weken uitgebracht, en zonder informatie te verstrekken, moest het verwijderen van de kwetsbaarheid 7 maanden of langer wachten.
Een kwart deel van de ondervraagde ontwikkelaars zei dat bij het kiezen van een bibliotheek insluiten, de belangrijkste focus ligt op functionaliteit en codelicenties, en alleen dan wordt beveiliging overwogen.
We kijken naar de populairste bibliotheken in 2019 versus 2020, evenals de populairste bibliotheken met bekende kwetsbaarheden in 2019 versus 2020. Kortom: u kunt het gebruik van open source-bibliotheken toevoegen aan de lijst met dingen die drastisch zijn veranderd in 2020. Wat hot is en wat niet, en wat veilig is en wat niet, verandert snel.
Opgemerkt moet worden dat de situatie met verificatie van codelicenties niet beter is: 54% van de respondenten gaf toe dat ze de licentie voor bibliotheekcode niet altijd verifiëren voordat ze deze in hun product integreren. Slechts 27% van de respondenten past de verplichte verificatie van licentiecompatibiliteit toe.
Tot slot, als u meer wilt weten over het onderzoek dat door Veracode is uitgevoerd, kunt u de details raadplegen In de volgende link.
Het is gebruikelijk om een bibliotheek op het lokale bestandssysteem te plaatsen in plaats van te linken, omdat soms de link verandert en functionaliteit verloren gaat.