Проблеме са безбедношћу такође узрокује коришћење библиотека независних произвођача

Пре неки дан Верацоде (компанија за заштиту апликација) дао до знања путем блога, студија о безбедносним проблемима изазваним уградњом библиотека отвореног кода у апликацијама.

Као резултат скенирања 86 спремишта и анкете од скоро 79 програмера, утврђено је да се XNUMX% пројеката библиотека независних произвођача пренесених у код никада не ажурира накнадно.

Верацоде Истиче у својој радној собиили да је главни проблем повезане са безбедносним проблемима у апликацијама које употреба библиотека отвореног кода је да уместо да их динамички повезују, многе компаније они само укључују потребне библиотеке у вашим пројектима, не узимајући у обзир могуће исправке или решења за грешке пронађене касније у тим библиотекама.

У исто време примећује да застарели библиотечки код изазива безбедносне проблеме и да у овој студији показује да се око 92% случајева може избећи једноставним ажурирањем библиотечког кода.

Данас објављујемо издање отвореног кода нашег годишњег извештаја о стању софтверске сигурности. Фокусирајући се искључиво на сигурност библиотека отвореног кода, извештај укључује анализу 13 милиона скенирања из више од 86.000 спремишта, која садрже више од 301.000 јединствених библиотека.

У прошлогодишњем извештају о отвореном изворном коду погледали смо снимак употребе и сигурности библиотека отвореног кода. Ове године смо изашли из оквира тренутног снимка да бисмо испитали динамику развоја библиотека и како програмери реагују на промене у библиотекама, укључујући откривање грешака.

поред тога изговори да се библиотеке не ажурирају, То је због до могућег неуспеха компатибилности који су углавном неосновани. Суочени са оваквим изговорима Верацоде је доказао супротно у својој студији да је око 69% проучених случајева, речено је да су рањивости исправљене у издањима закрпа који нису били повезани са променама у функционалности.

 Извештај открива да, иако су библиотеке отвореног кода основа готово читавог софтвера, то није чврста основа, већ основа која се непрестано развија и мења. Међутим, развојне праксе се не прилагођавају увек динамичној природи ових библиотека, остављајући организације изложене. 

Такође напомиње да се утицај такође врши информисањем програмера на појаву рањивости: си програмери су обавештени проблема у библиотеци, у У 17% случајева проблем је решен за сат и 25% за недељу дана.

Ако су постојале информације о томе како рањивост у библиотеци може довести до угрожавања апликације, у 50% случајева закрпа је издата за три недеље, а без пружања информација, уклањање рањивости морало је да сачека 7 или више месеци.

Четвртински део анкетираних програмера је то рекао приликом избора библиотеке уградити, главни фокус је на функционалности и кодне лиценце, а тек тада се разматра сигурност.

Гледамо најпопуларније библиотеке у 2019. у односу на 2020. годину, као и најпопуларније библиотеке са познатим рањивостима у 2019. у односу на 2020. Дно: на листу ствари које су се драматично промениле можете додати употребу библиотека отвореног кода 2020. Шта је вруће, а шта није, а шта је сигурно, а шта није, брзо се мења.

Треба напоменути да ситуација са верификацијом лиценце кода није ништа боља: 54% испитаника признало је да не верификује увек лиценцу за библиотечки код пре него што је интегрише у свој производ. Само 27% испитаника практикује обавезну проверу компатибилности лиценци.

И на крају, ако сте заинтересовани да сазнате више о студији коју је спровео Верацоде, можете се обратити детаљима У следећем линку.


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

Коментар, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   луик дијо

    Уобичајено је да се библиотека ставља на локални систем датотека уместо повезивања, јер се понекад веза мења и функционалност се губи.