Kilka dni temu Verakod (firma zajmująca się bezpieczeństwem aplikacji) dał mi znać za pośrednictwem posta na blogu, opracowanie na temat problemów bezpieczeństwa spowodowanych włączeniem bibliotek open source source w aplikacjach.
W wyniku skanowania 86 79 repozytoriów i ankiety przeprowadzonej wśród prawie XNUMX programistów ustalono, że XNUMX% projektów bibliotecznych innych firm przeniesionych do kodu nigdy nie jest później aktualizowanych.
Verakod wskazuje w jego gabinecielub że główny problem związane z problemami bezpieczeństwa w aplikacjach, które korzystać z bibliotek open source jest to, że zamiast dynamicznie je łączyć, wiele firm one po prostu obejmują niezbędne biblioteki w Twoich projektach, bez uwzględniania ewentualnych aktualizacji lub rozwiązań błędów znalezionych później w tych bibliotekach.
W tym samym czasie zauważa, że nieaktualny kod biblioteki powoduje problemy z bezpieczeństwem i że w tym badaniu pokazuje, że około 92% przypadków można uniknąć, po prostu aktualizując kod biblioteki.
Dziś publikujemy edycję open source naszego corocznego raportu o stanie bezpieczeństwa oprogramowania. Skupiając się wyłącznie na bezpieczeństwie bibliotek open source, raport zawiera analizę 13 milionów skanów z ponad 86.000 301.000 repozytoriów, zawierających ponad XNUMX XNUMX unikalnych bibliotek.
W zeszłorocznym raporcie na temat edycji open source przyjrzeliśmy się migawce wykorzystania i bezpieczeństwa bibliotek open source. W tym roku wyszliśmy poza migawkę z określonego punktu w czasie, aby zbadać dynamikę rozwoju bibliotek i sposób, w jaki programiści reagują na zmiany w bibliotekach, w tym wykrywanie błędów.
poza tym wymówki, że biblioteki nie są aktualizowane, To jest należne na możliwą awarię kompatybilności które są w większości bezpodstawne. W obliczu tego rodzaju wymówek Veracode udowodniło coś przeciwnego w swoim badaniu, że około 69% zbadanych przypadków, wspomniane luki zostały naprawione w wydaniach łat które nie były związane ze zmianami funkcjonalności.
Raport ujawnia, że chociaż biblioteki open source są podstawą prawie całego oprogramowania, nie jest to solidna podstawa, ale raczej fundament, który stale ewoluuje i zmienia się. Jednak praktyki programistyczne nie zawsze dostosowują się do dynamicznego charakteru tych bibliotek, narażając organizacje na ryzyko.
Również wspomina, że wpływ wywiera również informowanie deweloperów o pojawieniu się luk: si deweloperzy zostali powiadomieni problemu w bibliotece, w W 17% przypadków problem został rozwiązany za godzinę i 25% za tydzień.
Jeśli były informacje o tym, w jaki sposób luka w bibliotece może doprowadzić do złamania zabezpieczeń aplikacji, w 50% przypadków łata została wydana w ciągu trzech tygodni, a bez podania informacji usunięcie luki musiało poczekać 7 miesięcy lub dłużej.
Ćwierć część ankietowanych programistów stwierdziło, że wybierając bibliotekę osadzić, główny nacisk kładziony jest na funkcjonalność i licencje na kod, a dopiero wtedy brane są pod uwagę zabezpieczenia.
Przyglądamy się najpopularniejszym bibliotekom w 2019 vs. 2020, a także najpopularniejszym bibliotekom ze znanymi podatnościami w 2019 vs. 2020. Konkluzja: możesz dodać korzystanie z bibliotek open source do listy rzeczy, które zmieniły się dramatycznie w 2020. Co jest gorące, a co nie, a co jest bezpieczne, a co nie, szybko się zmienia.
Należy zauważyć, że sytuacja z weryfikacją licencji kodu nie jest lepsza: 54% respondentów przyznało, że nie zawsze weryfikuje licencję na kod biblioteczny przed włączeniem go do swojego produktu. Tylko 27% respondentów przeprowadza obowiązkową weryfikację zgodności licencji.
Wreszcie, jeśli chcesz dowiedzieć się więcej o badaniu przeprowadzonym przez Veracode, możesz zapoznać się ze szczegółami W poniższym linku.
Powszechne jest umieszczanie biblioteki w lokalnym systemie plików zamiast linkowania, ponieważ czasami link zmienia się i traci funkcjonalność.