Disa ditë më parë Verakodi (një kompani e sigurisë së aplikacioneve) e bëri të njohur përmes një postimi në blog, një studim mbi problemet e sigurisë të shkaktuara nga përfshirja e bibliotekave me burim të hapur në aplikacione.
Si rezultat i skanimit të 86 depove dhe një sondazhi i gati 79 zhvilluesve, u përcaktua që XNUMX% e projekteve të bibliotekave të palëve të treta të transferuara në kod nuk azhurnohen kurrë më pas.
Verakodi tregon në studimin e tijose se problemi kryesor shoqerohet me probleme sigurie ne aplikacione qe përdorimi i bibliotekave me burim të hapur është se në vend që t'i lidh ato në mënyrë dinamike, shumë kompani ato thjesht përfshijnë bibliotekat e nevojshme në projektet tuaja, pa marrë parasysh azhurnimet e mundshme ose zgjidhjet e gabimeve të gjetura më vonë në këto biblioteka.
Në të njëjtën kohë vëren se kodi i vjetëruar i bibliotekës shkakton çështje sigurie dhe se në këtë studim tregon se rreth 92% e rasteve mund të shmangen thjesht duke azhurnuar kodin e bibliotekës.
Sot ne botojmë botimin me burim të hapur të raportit tonë vjetor të Sigurisë së Shtetit. Duke u përqëndruar ekskluzivisht në sigurinë e bibliotekave me burim të hapur, raporti përfshin analizën e 13 milion skanimeve nga më shumë se 86.000 depo, që përmbajnë më shumë se 301.000 biblioteka unike.
Në raportin e botimit të burimit të hapur të vitit të kaluar, ne pamë një pamje të përdorimit dhe sigurisë së bibliotekave me burim të hapur. Këtë vit, ne shkuam përtej një fotografie në kohë për të shqyrtuar dinamikën e zhvillimit të bibliotekës dhe mënyrën se si reagojnë zhvilluesit ndaj ndryshimeve të bibliotekës, duke përfshirë zbulimin e defekteve në kod.
Përveç kësaj arsyetimet se bibliotekat nuk azhurnohen, Dueshtë për shkak në një dështim të mundshëm të pajtueshmërisë të cilat kryesisht janë të pabazuara. Të ballafaquar me këto lloj justifikimesh Veracode provoi të kundërtën në studimin e tyre se rreth 69% e rasteve të studiuara, tha që dobësitë ishin fiksuar në lëshimet patch që nuk kishin të bënin me ndryshimet në funksionalitet.
Raporti zbulon se ndërsa bibliotekat me burim të hapur janë themeli i pothuajse të gjithë softuerit, ai nuk është një themel i fortë, por më tepër një fondacion që vazhdimisht evoluon dhe ndryshon. Sidoqoftë, praktikat e zhvillimit nuk përshtaten gjithmonë me natyrën dinamike të këtyre bibliotekave, duke i lënë organizatat të ekspozuara.
edhe përmend se ndikimi ushtrohet gjithashtu duke informuar zhvilluesit mbi paraqitjen e dobësive: si zhvilluesit u njoftuan i një problemi në bibliotekë, në 17% e rasteve problemi u zgjidh në një orë dhe 25% në javë.
Nëse do të kishte informacione se si një dobësi në bibliotekë mund të çonte në kompromis të një aplikacioni, në 50% të rasteve patch-i u lëshua në tre javë, dhe pa siguruar informacion, heqja e cenueshmërisë duhej të priste 7 muaj ose më shumë.
Një e katërta pjesë e zhvilluesve të anketuar thanë se kur zgjedhni një bibliotekë për të ngulitur, fokusi kryesor është në funksionalitetin dhe licencat e kodeve, dhe vetëm atëherë merret parasysh siguria.
Ne shikuam bibliotekat më të njohura në 2019 vs 2020, si dhe bibliotekat më të njohura me dobësi të njohura në 2019 vs 2020. Në fund të fundit: mund të shtoni përdorimin e bibliotekave me burim të hapur në listën e gjërave që ndryshuan në mënyrë dramatike në 2020. Çfarë është e nxehtë dhe çfarë jo, dhe çfarë është e sigurt dhe çfarë jo, ndryshon shpejt.
Duhet të theksohet se situata me verifikimin e licencës së kodit nuk është më e mirë: 54% e të anketuarve pranuan se jo gjithmonë e verifikojnë licencën për kodin e bibliotekës përpara se ta integrojnë atë në produktin e tyre. Vetëm 27% e të anketuarve praktikojnë verifikimin e detyrueshëm të pajtueshmërisë së licencës.
Së fundmi, nëse jeni të interesuar të mësoni më shumë rreth studimit të kryer nga Veracode, mund të konsultoheni me detajet Në lidhjen vijuese.
Commonshtë e zakonshme të vendosni një bibliotekë në sistemin lokal të skedarëve në vend që të lidhni, pasi ndonjëherë lidhja ndryshon dhe funksionaliteti humbet.