Несколько дней тому назад Veracode (компания по обеспечению безопасности приложений) сделал это известным через сообщение в блоге, исследование проблем безопасности, вызванных включением библиотек с открытым исходным кодом в приложениях.
В результате сканирования 86 79 репозиториев и опроса почти XNUMX XNUMX разработчиков было установлено, что XNUMX% проектов сторонних библиотек, переданных в код, никогда впоследствии не обновляются.
Veracode указывает на в его кабинетеили что основная проблема связаны с проблемами безопасности в приложениях, которые использование библиотек с открытым исходным кодом заключается в том, что вместо их динамического связывания, многие компании они просто включают необходимые библиотеки в ваших проектах, без учета возможных обновлений или решений ошибок, обнаруженных позже в этих библиотеках.
Al mismo tiempo, отмечает, что устаревший код библиотеки вызывает проблемы с безопасностью и что в этом исследовании показано, что около 92% случаев можно избежать, просто обновив код библиотеки.
Сегодня мы публикуем версию нашего ежегодного отчета о состоянии безопасности программного обеспечения с открытым исходным кодом. Сосредоточенный исключительно на безопасности библиотек с открытым исходным кодом, отчет включает анализ 13 миллионов сканированных изображений из более чем 86.000 301.000 репозиториев, содержащих более XNUMX XNUMX уникальных библиотек.
В прошлогоднем отчете о выпуске с открытым исходным кодом мы рассмотрели моментальный снимок использования и безопасности библиотек с открытым исходным кодом. В этом году мы вышли за рамки моментального снимка, чтобы изучить динамику развития библиотеки и то, как разработчики реагируют на изменения библиотеки, включая обнаружение ошибок.
Кроме того отговорки о том, что библиотеки не обновляются, Это из-за к возможному нарушению совместимости которые в большинстве своем необоснованны. Столкнувшись с такими оправданиями Veracode доказал обратное в своем исследовании около 69% изученных случаев, указанные уязвимости были исправлены в выпусках исправлений которые не были связаны с изменением функциональности.
В отчете показано, что, хотя библиотеки с открытым исходным кодом являются основой почти всего программного обеспечения, это не прочная основа, а, скорее, основа, которая постоянно развивается и меняется. Однако методы разработки не всегда адаптируются к динамической природе этих библиотек, оставляя организации незащищенными.
также упоминает, что влияние также оказывает информирование разработчиков о появлении уязвимостей: sя уведомили разработчиков проблемы в библиотеке, в В 17% случаев проблема решилась через час и 25% через неделю.
Если была информация о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев патч выпускался через три недели, а без предоставления информации на удаление уязвимости приходилось ждать 7 месяцев и более.
Четверть часть опрошенных разработчиков сказали, что при выборе библиотеки вставлять, основной упор делается на функциональность и лицензии на код, и только после этого рассматривается безопасность.
Мы рассмотрим самые популярные библиотеки в 2019 и 2020 годах, а также самые популярные библиотеки с известными уязвимостями в 2019 и 2020 годах. Итог: вы можете добавить использование библиотек с открытым исходным кодом к списку вещей, которые кардинально изменились в 2020. Что популярно, а что нет, что безопасно, а что нет, быстро меняется.
Следует отметить, что не лучше обстоят дела с проверкой лицензионного кода: 54% респондентов признали, что не всегда проверяют лицензию на библиотечный код перед тем, как интегрировать его в свой продукт. Только 27% респондентов практикуют обязательную проверку совместимости лицензий.
Наконец, если вам интересно узнать больше об исследовании, проведенном Veracode, вы можете ознакомиться с подробностями. По следующей ссылке.
Обычно библиотеку помещают в локальную файловую систему вместо связывания, так как иногда ссылка изменяется и функциональность теряется.