For noen dager siden Vera kode (et applikasjonssikkerhetsselskap) gjort det kjent via et blogginnlegg, en studie om sikkerhetsproblemer forårsaket av inkorporering av open source-biblioteker i applikasjoner.
Som et resultat av skanning av 86 79 arkiver og en undersøkelse av nesten XNUMX utviklere, ble det bestemt at XNUMX% av tredjeparts bibliotekprosjekter som er overført til kode, aldri blir oppdatert senere.
Vera kode påpeker i studiet sitteller at hovedproblemet assosiert med sikkerhetsproblemer i applikasjoner som bruke open source-biblioteker er det i stedet for å koble dem dynamisk, mange selskaper de inkluderer bare de nødvendige bibliotekene i prosjektene dine, uten å ta hensyn til mulige oppdateringer eller løsninger på feil som du finner senere i disse bibliotekene.
Samtidig bemerker at utdatert bibliotekkode forårsaker sikkerhetsproblemer og at det i denne studien viser at rundt 92% av tilfellene kan unngås bare ved å oppdatere bibliotekoden.
I dag publiserer vi open source-utgaven av vår årlige State of Software Security-rapport. Rapporten fokuserer utelukkende på sikkerheten til open source-biblioteker, og inkluderer analyse av 13 millioner skanninger fra mer enn 86.000 301.000 arkiver, som inneholder mer enn XNUMX XNUMX unike biblioteker.
I fjorårets rapport om åpen kildekodeutgave så vi på et øyeblikksbilde av bruk og sikkerhet av åpen kildekodebibliotek. I år gikk vi utover et punkt-i-tid-øyeblikksbilde for å undersøke dynamikken i bibliotekutvikling og hvordan utviklere reagerer på bibliotekendringer, inkludert feiloppdagelse.
bortsett fra det unnskyldningene for at biblioteker ikke er oppdatert, Det skyldes til en mulig kompatibilitetsfeil som stort sett er ubegrunnede. Stilt overfor slike unnskyldninger Veracode viste det motsatte i studien at om lag 69% av tilfellene som ble undersøkt, sa sårbarheter ble løst i oppdateringer som ikke var relatert til endringer i funksjonalitet.
Rapporten avslører at selv om open source-biblioteker er grunnlaget for nesten all programvare, er det ikke et solid fundament, men snarere et fundament som stadig utvikler seg og endres. Imidlertid tilpasser ikke utviklingspraksis seg alltid den dynamiske naturen til disse bibliotekene, og etterlater organisasjoner eksponert.
også nevner at virkningen også utøves av å informere utviklere om utseendet på sårbarheter: sjeg utviklerne ble varslet av et problem i biblioteket, i 17% av tilfellene ble problemet løst på en time og 25% på en uke.
Hvis det var informasjon om hvordan et sårbarhet i biblioteket kan føre til kompromittering av et program, ble oppdateringen i 50% av tilfellene utgitt på tre uker, og uten å gi informasjon, måtte eliminering av sårbarheten vente 7 måneder eller mer.
En kvart del av undersøkte utviklere sa at når du velger et bibliotek å legge inn, hovedfokus er på funksjonalitet og kodelisenser, og først da blir sikkerhet vurdert.
Vi ser på de mest populære bibliotekene i 2019 mot 2020, samt de mest populære bibliotekene med kjente sårbarheter i 2019 mot 2020. Bunnlinjen: du kan legge til bruken av åpen kildekode-biblioteker i listen over ting som endret seg dramatisk i 2020. Hva som er varmt og hva som ikke er, og hva som er trygt og hva som ikke er, endres raskt.
Det skal bemerkes at situasjonen med bekreftelse av kodelisenser ikke er bedre: 54% av respondentene innrømmet at de ikke alltid bekrefter lisensen for bibliotekode før de ble integrert i produktet. Bare 27% av respondentene praktiserer obligatorisk verifisering av lisenskompatibilitet.
Til slutt, hvis du er interessert i å lære mer om studien utført av Veracode, kan du konsultere detaljene I den følgende lenken.
Det er vanlig å plassere et bibliotek på det lokale filsystemet i stedet for å koble til, da noen ganger endres lenken og funksjonaliteten går tapt.