Masalah kaamanan ogé disababkeun ku panggunaan perpustakaan pihak katilu

Sababaraha dinten ka pengker Veracode (perusahaan kaamanan aplikasi) ngajantenkeun terang via tulisan blog, studi ngeunaan masalah kaamanan anu disababkeun ku gabungkeun perpustakaan sumber terbuka dina aplikasi.

Salaku hasil tina scanning 86 repositories sareng survey ampir 79 pamekar, éta ditangtoskeun yén XNUMX% proyek perpustakaan pihak katilu anu ditransferkeun kana kode henteu teras teras diénggalan.

Veracode nunjuk dina pangajiannaatanapi éta masalah utama pakait sareng masalah kaamanan dina aplikasi éta anggo perpustakaan open source nyaéta alih-alih ngahubungkeun aranjeunna sacara dinamis, seueur perusahaan aranjeunna ngan ukur kalebet perpustakaan anu diperyogikeun dina proyek anjeun, tanpa ngémutan kamungkinan pembaruan atanapi solusi pikeun kasalahan anu kapendak engké di perpustakaan ieu.

Dina waktos anu nyatet yén kode perpustakaan anu tinggaleun jaman ngabalukarkeun masalah kaamanan sareng yén dina panilitian ieu nunjukkeun yén sakitar 92% kasus tiasa dihindari ngan saukur ku ngamutahirkeun kode perpustakaan.

Dinten ieu kami nyebarkeun édisi sumber kabuka laporan State of Software Security taunan kami. Museurkeun sacara éksklusif pikeun kaamanan perpustakaan sumber terbuka, laporan kalebet analisis 13 juta scan tina langkung ti 86.000 gudang, ngandung langkung ti 301.000 perpustakaan unik.

Dina laporan édisi sumber kabuka taun kamari, urang ningali gambar tina panggunaan sareng kaamanan perpustakaan sumber terbuka. Taun ayeuna, kami ngalangkungan poto-poto anu saé pikeun nalungtik dinamika pamekaran perpustakaan sareng kumaha réaksi pangembang kana perpustakaan, kalebet papanggihan bug.

Sajaba ti éta alesan yén perpustakaan henteu diénggalan, Éta alatan kana kamungkinan kagagalan kasaluyuan anu kalolobaanana teu berdasar. Nyanghareupan alesan ieu Veracode ngabuktikeun sabalikna dina ulikanana yén sakitar 69% kasus anu ditaliti, ceuk kerentanan dibereskeun dina siaran patch éta henteu aya hubunganana sareng parobihan fungsi.

 Laporan éta ngungkabkeun yén sanaos perpustakaan sumber terbuka mangrupikeun pondasi ampir sadaya parangkat lunak, éta sanés pondasi padet, tapi mangrupikeun yayasan anu teras-teras berkembang sareng ngarobah. Nanging, prak-prakan pangwangunan henteu teras-terasan adaptasi sareng sipat dinamis perpustakaan ieu, ngantepkeun organisasi kakeunaan. 

Tambien nyebatkeun yén pangaruhna ogé dilakukeun ku ngawartosan pamekar kana tampilan kerentanan: sabdi pangembang diwartosan tina masalah di perpustakaan, di 17% kasus masalahna direngsekeun dina sajam sareng 25% dina saminggu.

Upami aya inpormasi ngeunaan kumaha kerentanan di perpustakaan tiasa ngakibatkeun kompromi aplikasi, dina 50% kasus tambalan éta dileupaskeun dina tilu minggu, sareng tanpa nyayogikeun inpormasi, panyabutan kerentanan kedah ngantosan 7 bulan atanapi langkung.

Bagian saparapat pamekar anu disurvei nyarios yén nalika milih perpustakaan ngalebetkeun, fokus utama nyaéta dina fungsionalitas sareng lisénsi kode, sareng ngan éta waé dianggap kaamanan.

Kami ningali perpustakaan anu paling populér di taun 2019 vs 2020, ogé perpustakaan anu paling populér kalayan kerentanan anu dipikaterang dina 2019 vs 2020. Intina: anjeun tiasa nambihan panggunaan perpustakaan sumber terbuka kana daptar hal anu robih sacara dramatis dina 2020. Naon anu panas sareng anu henteu, sareng anu aman sareng anu henteu, gancang-gancang robih.

Perhatoskeun yén kaayaan dina verifikasi lisénsi kode henteu langkung saé: 54% réspondén ngaku yén aranjeunna henteu teras-terasan mastikeun lisénsi kode perpustakaan sateuacan diintegrasikeun kana produkna. Ngan 27% réspondén latihan verifikasi kompatibilitas lisénsi wajib.

Akhirna, upami anjeun resep diajar langkung seueur ngeunaan studi anu dilakukeun ku Veracode, anjeun tiasa konsultasi detil na Dina tautan ieu.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Koméntar, tinggalkeun anjeun

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun. Widang diperlukeun téh ditandaan ku *

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

  1.   luix cenahna

    Umum pikeun nempatkeun perpustakaan dina sistem file lokal sanés ngahubungkeun, sabab kadang tautan robih sareng fungsina leungit.