Пре неки дан Верацоде (компанија за заштиту апликација) дао до знања путем блога, студија о безбедносним проблемима изазваним уградњом библиотека отвореног кода у апликацијама.
Као резултат скенирања 86 спремишта и анкете од скоро 79 програмера, утврђено је да се XNUMX% пројеката библиотека независних произвођача пренесених у код никада не ажурира накнадно.
Верацоде Истиче у својој радној собиили да је главни проблем повезане са безбедносним проблемима у апликацијама које употреба библиотека отвореног кода је да уместо да их динамички повезују, многе компаније они само укључују потребне библиотеке у вашим пројектима, не узимајући у обзир могуће исправке или решења за грешке пронађене касније у тим библиотекама.
У исто време примећује да застарели библиотечки код изазива безбедносне проблеме и да у овој студији показује да се око 92% случајева може избећи једноставним ажурирањем библиотечког кода.
Данас објављујемо издање отвореног кода нашег годишњег извештаја о стању софтверске сигурности. Фокусирајући се искључиво на сигурност библиотека отвореног кода, извештај укључује анализу 13 милиона скенирања из више од 86.000 спремишта, која садрже више од 301.000 јединствених библиотека.
У прошлогодишњем извештају о отвореном изворном коду погледали смо снимак употребе и сигурности библиотека отвореног кода. Ове године смо изашли из оквира тренутног снимка да бисмо испитали динамику развоја библиотека и како програмери реагују на промене у библиотекама, укључујући откривање грешака.
поред тога изговори да се библиотеке не ажурирају, То је због до могућег неуспеха компатибилности који су углавном неосновани. Суочени са оваквим изговорима Верацоде је доказао супротно у својој студији да је око 69% проучених случајева, речено је да су рањивости исправљене у издањима закрпа који нису били повезани са променама у функционалности.
Извештај открива да, иако су библиотеке отвореног кода основа готово читавог софтвера, то није чврста основа, већ основа која се непрестано развија и мења. Међутим, развојне праксе се не прилагођавају увек динамичној природи ових библиотека, остављајући организације изложене.
Такође напомиње да се утицај такође врши информисањем програмера на појаву рањивости: си програмери су обавештени проблема у библиотеци, у У 17% случајева проблем је решен за сат и 25% за недељу дана.
Ако су постојале информације о томе како рањивост у библиотеци може довести до угрожавања апликације, у 50% случајева закрпа је издата за три недеље, а без пружања информација, уклањање рањивости морало је да сачека 7 или више месеци.
Четвртински део анкетираних програмера је то рекао приликом избора библиотеке уградити, главни фокус је на функционалности и кодне лиценце, а тек тада се разматра сигурност.
Гледамо најпопуларније библиотеке у 2019. у односу на 2020. годину, као и најпопуларније библиотеке са познатим рањивостима у 2019. у односу на 2020. Дно: на листу ствари које су се драматично промениле можете додати употребу библиотека отвореног кода 2020. Шта је вруће, а шта није, а шта је сигурно, а шта није, брзо се мења.
Треба напоменути да ситуација са верификацијом лиценце кода није ништа боља: 54% испитаника признало је да не верификује увек лиценцу за библиотечки код пре него што је интегрише у свој производ. Само 27% испитаника практикује обавезну проверу компатибилности лиценци.
И на крају, ако сте заинтересовани да сазнате више о студији коју је спровео Верацоде, можете се обратити детаљима У следећем линку.
Уобичајено је да се библиотека ставља на локални систем датотека уместо повезивања, јер се понекад веза мења и функционалност се губи.