Problemele de securitate sunt cauzate și de utilizarea bibliotecilor terțe

Acum câteva zile Cod Vera (o companie de securitate a aplicațiilor) a făcut-o cunoscută printr-o postare pe blog, un studiu asupra problemelor de securitate cauzate de încorporarea bibliotecilor open source în aplicații.

Ca urmare a scanării a 86 de mii de depozite și a unui sondaj de aproximativ două mii de dezvoltatori, s-a stabilit că 79% dintre proiectele de biblioteci terță parte portate în cod nu sunt niciodată actualizate ulterior.

Cod Vera evidențiază în studiul săusau că problema principală asociat cu probleme de securitate în aplicaţiile care ei folosesc biblioteci open source este că în loc să le conecteze dinamic, multe companii ele includ pur și simplu bibliotecile necesare în proiectele lor, fără a lua în considerare eventualele actualizări sau soluții la erorile constatate ulterior în bibliotecile menționate.

În același timp, subliniază că codul de bibliotecă învechit cauzează probleme de securitate și că acest studiu arată că aproximativ 92% din cazuri pot fi evitate prin simpla actualizare a codului bibliotecii.

Astăzi am publicat ediția open source a raportului nostru anual Starea securității software-ului. Concentrat exclusiv pe securitatea bibliotecilor open source, raportul include analiza a 13 milioane de scanări a peste 86.000 de depozite, care conțin peste 301.000 de biblioteci unice.

În raportul Open Source Edition de anul trecut, am făcut un instantaneu al utilizării și securității bibliotecilor open source. Anul acesta, am depășit instantaneul unui moment în timp pentru a examina dinamica dezvoltării bibliotecii și modul în care dezvoltatorii reacționează la modificările bibliotecii, inclusiv la descoperirea erorilor.

Pe lângă asta scuzele că bibliotecile nu sunt actualizate, Se datorează la o posibilă defecţiune a compatibilităţii care sunt în mare parte nefondate. Având în vedere aceste tipuri de scuze Veracode a dovedit contrariul în studiul lor că aproximativ 69% din cazurile studiate, Aceste vulnerabilități au fost remediate în versiunile de corecție care nu au fost legate de modificări ale funcționalității.

 Raportul dezvăluie că, deși bibliotecile cu sursă deschisă sunt fundația aproape a tuturor programelor software, nu este o bază solidă, ci mai degrabă o fundație care evoluează și se schimbă constant. Cu toate acestea, practicile de dezvoltare nu se adaptează întotdeauna la natura dinamică a acestor biblioteci, lăsând organizațiile expuse. 

también menționează că impactul se exercită și prin informarea dezvoltatorilor privind apariția vulnerabilităților: si dezvoltatorii au fost anunțați a unei probleme în bibliotecă, în 17% din cazuri problema a fost rezolvată într-o oră și 25% într-o săptămână.

Dacă existau informații despre modul în care o vulnerabilitate din bibliotecă ar putea duce la compromiterea unei aplicații, în 50% din cazuri patch-ul a fost eliberat în decurs de trei săptămâni, iar fără a furniza informații, eliminarea vulnerabilității a trebuit să aștepte 7 luni sau mai mult.

Un sfert de parte dintre dezvoltatorii chestionați au spus că atunci când aleg o bibliotecă a încorpora, accentul principal este pe funcționalitate și licențele de cod și numai atunci se ia în considerare securitatea.

Ne uităm la cele mai populare biblioteci în 2019 vs. 2020, precum și la cele mai populare biblioteci cu vulnerabilități cunoscute în 2019 vs. 2020. Concluzie: puteți adăuga utilizarea bibliotecilor open source la lista de lucruri care s-au schimbat dramatic în 2020. Ce e fierbinte și ce nu, și ce este sigur și ce nu, se schimbă rapid.

De menționat că situația cu verificarea licenței de cod nu este mai bună: 54% dintre respondenți au recunoscut că nu verifică întotdeauna licența pentru codul de bibliotecă înainte de a o integra în produsul lor. Doar 27% dintre respondenți practică verificarea obligatorie a compatibilității licenței.

In fine, daca esti interesat sa afli mai multe despre studiul realizat de Veracode, poti consulta detaliile În următorul link.