Проблемы с безопасностью также вызваны использованием сторонних библиотек.

Несколько дней тому назад Veracode (компания по обеспечению безопасности приложений) сделал это известным через сообщение в блоге, исследование проблем безопасности, вызванных включением библиотек с открытым исходным кодом в приложениях.

В результате сканирования 86 79 репозиториев и опроса почти XNUMX XNUMX разработчиков было установлено, что XNUMX% проектов сторонних библиотек, переданных в код, никогда впоследствии не обновляются.

Veracode указывает на в его кабинетеили что основная проблема связаны с проблемами безопасности в приложениях, которые использование библиотек с открытым исходным кодом заключается в том, что вместо их динамического связывания, многие компании они просто включают необходимые библиотеки в ваших проектах, без учета возможных обновлений или решений ошибок, обнаруженных позже в этих библиотеках.

Al mismo tiempo, отмечает, что устаревший код библиотеки вызывает проблемы с безопасностью и что в этом исследовании показано, что около 92% случаев можно избежать, просто обновив код библиотеки.

Сегодня мы публикуем версию нашего ежегодного отчета о состоянии безопасности программного обеспечения с открытым исходным кодом. Сосредоточенный исключительно на безопасности библиотек с открытым исходным кодом, отчет включает анализ 13 миллионов сканированных изображений из более чем 86.000 301.000 репозиториев, содержащих более XNUMX XNUMX уникальных библиотек.

В прошлогоднем отчете о выпуске с открытым исходным кодом мы рассмотрели моментальный снимок использования и безопасности библиотек с открытым исходным кодом. В этом году мы вышли за рамки моментального снимка, чтобы изучить динамику развития библиотеки и то, как разработчики реагируют на изменения библиотеки, включая обнаружение ошибок.

Кроме того отговорки о том, что библиотеки не обновляются, Это из-за к возможному нарушению совместимости которые в большинстве своем необоснованны. Столкнувшись с такими оправданиями Veracode доказал обратное в своем исследовании около 69% изученных случаев, указанные уязвимости были исправлены в выпусках исправлений которые не были связаны с изменением функциональности.

 В отчете показано, что, хотя библиотеки с открытым исходным кодом являются основой почти всего программного обеспечения, это не прочная основа, а, скорее, основа, которая постоянно развивается и меняется. Однако методы разработки не всегда адаптируются к динамической природе этих библиотек, оставляя организации незащищенными. 

также упоминает, что влияние также оказывает информирование разработчиков о появлении уязвимостей: sя уведомили разработчиков проблемы в библиотеке, в В 17% случаев проблема решилась через час и 25% через неделю.

Если была информация о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев патч выпускался через три недели, а без предоставления информации на удаление уязвимости приходилось ждать 7 месяцев и более.

Четверть часть опрошенных разработчиков сказали, что при выборе библиотеки вставлять, основной упор делается на функциональность и лицензии на код, и только после этого рассматривается безопасность.

Мы рассмотрим самые популярные библиотеки в 2019 и 2020 годах, а также самые популярные библиотеки с известными уязвимостями в 2019 и 2020 годах. Итог: вы можете добавить использование библиотек с открытым исходным кодом к списку вещей, которые кардинально изменились в 2020. Что популярно, а что нет, что безопасно, а что нет, быстро меняется.

Следует отметить, что не лучше обстоят дела с проверкой лицензионного кода: 54% респондентов признали, что не всегда проверяют лицензию на библиотечный код перед тем, как интегрировать его в свой продукт. Только 27% респондентов практикуют обязательную проверку совместимости лицензий.

Наконец, если вам интересно узнать больше об исследовании, проведенном Veracode, вы можете ознакомиться с подробностями. По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Комментарий, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Люкс сказал

    Обычно библиотеку помещают в локальную файловую систему вместо связывания, так как иногда ссылка изменяется и функциональность теряется.