Problemas de segurança também são causados ​​pelo uso de bibliotecas de terceiros

Faz alguns dias veracode (uma empresa de segurança de aplicativos) tornou conhecido por meio de uma postagem no blog, um estudo sobre os problemas de segurança causados ​​pela incorporação de bibliotecas de código aberto em aplicações.

Como resultado da varredura de 86 repositórios e de uma pesquisa com quase 79 desenvolvedores, foi determinado que XNUMX% dos projetos de bibliotecas de terceiros transferidos para o código nunca são atualizados posteriormente.

veracode aponta em seu estudoou que o problema principal associado a problemas de segurança em aplicativos que usar bibliotecas de código aberto é que, em vez de vinculá-las dinamicamente, muitas empresas eles apenas incluem as bibliotecas necessárias em seus projetos, sem levar em conta as possíveis atualizações ou soluções para erros encontrados posteriormente nessas bibliotecas.

Ao mesmo tempo, observa que o código de biblioteca desatualizado causa problemas de segurança e que neste estudo mostra que cerca de 92% dos casos podem ser evitados simplesmente atualizando o código da biblioteca.

Hoje publicamos a edição de código aberto de nosso relatório anual State of Software Security. Focando exclusivamente na segurança de bibliotecas de código aberto, o relatório inclui a análise de 13 milhões de varreduras de mais de 86.000 repositórios, contendo mais de 301.000 bibliotecas exclusivas.

No relatório da edição de código aberto do ano passado, vimos um instantâneo do uso e da segurança das bibliotecas de código aberto. Este ano, fomos além de um instantâneo pontual para examinar a dinâmica do desenvolvimento da biblioteca e como os desenvolvedores reagem às mudanças na biblioteca, incluindo a descoberta de bugs.

Além disso as desculpas de que as bibliotecas não são atualizadas, é devido para uma possível falha de compatibilidade que são na sua maioria infundados. Confrontado com este tipo de desculpas Veracode provou o contrário em seu estudo que cerca de 69% dos casos estudados, disse que as vulnerabilidades foram corrigidas em lançamentos de patch que não foram relacionados a mudanças na funcionalidade.

 O relatório revela que, embora as bibliotecas de código aberto sejam a base de quase todos os softwares, não é uma base sólida, mas sim uma base que está em constante evolução e mudança. No entanto, as práticas de desenvolvimento nem sempre se adaptam à natureza dinâmica dessas bibliotecas, deixando as organizações expostas. 

Também menciona que o impacto também é exercido informando os desenvolvedores sobre o aparecimento de vulnerabilidades: seu os desenvolvedores foram notificados de um problema na biblioteca, no 17% dos casos o problema foi resolvido em uma hora e 25% em uma semana.

Se houvesse informações sobre como uma vulnerabilidade na biblioteca poderia comprometer um aplicativo, em 50% dos casos o patch foi lançado em três semanas e, sem fornecer informações, a remoção da vulnerabilidade teve que esperar 7 meses ou mais.

Um quarto de parte dos desenvolvedores entrevistados disseram que, ao escolher uma biblioteca para incorporar, o foco principal está na funcionalidade e licenças de código, e somente então a segurança é considerada.

Analisamos as bibliotecas mais populares em 2019 x 2020, bem como as bibliotecas mais populares com vulnerabilidades conhecidas em 2019 x 2020. Conclusão: você pode adicionar o uso de bibliotecas de código aberto à lista de coisas que mudaram drasticamente em 2020. O que está quente e o que não é, o que é seguro e o que não é, muda rapidamente.

Deve-se notar que a situação com a verificação da licença do código não é melhor: 54% dos entrevistados admitiram que nem sempre verificam a licença do código da biblioteca antes de integrá-lo em seu produto. Apenas 27% dos entrevistados praticam a verificação de compatibilidade de licença obrigatória.

Por fim, se tiver interesse em saber mais sobre o estudo realizado pela Veracode, pode consultar os detalhes no link a seguir.


Um comentário deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   luix dito

    É comum colocar uma biblioteca no sistema de arquivos local em vez de vinculá-la, pois às vezes o link muda e a funcionalidade é perdida.