Pred niekoľkými dňami Verakód (spoločnosť zabezpečujúca aplikácie) oznámil to prostredníctvom blogového príspevku, štúdia o bezpečnostných problémoch spôsobených začlenením knižníc otvoreného zdroja v aplikáciách.
Výsledkom skenovania 86 79 úložísk a prieskumu takmer XNUMX XNUMX vývojárov bolo zistenie, že XNUMX% projektov knižníc tretích strán prenesených do kódu sa nikdy následne neaktualizuje.
Verakód poukazuje v jeho štúdiualebo že hlavný problém spojené s bezpečnostnými problémami v aplikáciách, ktoré používať knižnice otvoreného zdroja je, že namiesto toho, aby ich dynamicky prepájal, veľa spoločností len zahrňujú potrebné knižnice vo svojich projektoch, bez toho, aby ste vzali do úvahy možné aktualizácie alebo riešenia chýb nájdených neskôr v týchto knižniciach.
Súčasne poznamenáva, že zastaraný kód knižnice spôsobuje problémy so zabezpečením a že v tejto štúdii ukazuje, že asi 92% prípadov sa dá vyhnúť jednoduchou aktualizáciou kódu knižnice.
Dnes zverejňujeme vydanie open source našej výročnej správy o stave softvérového zabezpečenia. Správa sa zameriava výlučne na bezpečnosť knižníc otvoreného zdroja a obsahuje analýzu 13 miliónov skenov z viac ako 86.000 301.000 úložísk obsahujúcich viac ako XNUMX XNUMX jedinečných knižníc.
V minuloročnej správe z edície open source sme sa pozreli na momentku používania a bezpečnosti knižníc open source. Tento rok sme išli nad rámec snímky typu point-in-time a preskúmali sme dynamiku vývoja knižníc a to, ako vývojári reagujú na zmeny knižnice vrátane objavovania chýb.
okrem toho výhovorky, že knižnice nie sú aktualizované, Je splatné k možnému zlyhaniu kompatibility ktoré sú väčšinou neopodstatnené. Zoči-voči týmto druhom výhovoriek Veracode dokázal opak vo svojej štúdii asi 69% študovaných prípadov, uvedené chyby boli opravené v vydaniach opráv ktoré nesúviseli so zmenami vo funkčnosti.
Správa odhaľuje, že hoci sú knižnice otvoreného zdroja základom takmer všetkého softvéru, nejde o pevný základ, ale o základňu, ktorá sa neustále vyvíja a mení. Nie vždy sa však vývojové postupy prispôsobujú dynamickej povahe týchto knižníc, čo ponecháva organizácie otvorené.
tiež uvádza, že vplyv má aj informovanie vývojárov o vzhľade zraniteľností: si vývojári boli upozornení problému v knižnici, v 17% prípadov bol problém vyriešený za hodinu a 25% za týždeň.
Ak existovali informácie o tom, ako môže zraniteľnosť v knižnici viesť k ohrozeniu aplikácie, v 50% prípadov bola oprava vydaná za tri týždne a bez poskytnutia informácií muselo odstránenie zraniteľnosti čakať 7 a viac mesiacov.
Štvrtinová časť opýtaných vývojárov uviedlo, že pri výbere knižnice vložiť, hlavné zameranie je na funkčnosť a kódové licencie a až potom sa zohľadní bezpečnosť.
Pozeráme sa na najpopulárnejšie knižnice v rokoch 2019 vs. 2020, ako aj na najobľúbenejšie knižnice so známymi slabými miestami v rokoch 2019 vs. 2020. Záver: do zoznamu vecí, ktoré sa dramaticky zmenili v roku, môžete pridať použitie knižníc otvoreného zdroja. 2020. Čo je horúce a čo nie, a čo bezpečné a čo nie, sa rýchlo mení.
Je potrebné poznamenať, že situácia s overovaním licenčných kódov nie je o nič lepšia: 54% respondentov pripustilo, že nie vždy overujú licenciu pre knižničný kód pred integráciou do svojho produktu. Iba 27% respondentov praktizuje povinné overenie kompatibility licencie.
Na záver, ak máte záujem dozvedieť sa viac o štúdii uskutočnenej spoločnosťou Veracode, môžete si prečítať podrobnosti Na nasledujúcom odkaze.
Je bežné umiestňovať knižnicu do lokálneho súborového systému namiesto odkazovania, pretože niekedy sa odkaz zmení a funkčnosť sa stratí.