Säkerhetsproblem orsakas också av användning av tredjepartsbibliotek

Några dagar sedan Vera kod (ett applikationssäkerhetsföretag) gjorde det känt via ett blogginlägg, en studie om säkerhetsproblem som orsakas av införandet av bibliotek med öppen källkod i ansökningarna.

Som ett resultat av att skanna 86 79 arkiv och kartlägga nästan XNUMX XNUMX utvecklare, fastställdes det att XNUMX % av tredje parts biblioteksprojekt som porterats till kod aldrig uppdateras senare.

Vera kod påpekar i hans arbetsrumeller att huvudproblemet i samband med säkerhetsproblem i applikationer som använda öppen källkodsbibliotek är att istället för att dynamiskt länka dem, många företag de inkluderar helt enkelt de bibliotek som behövs i dina projekt, utan att ta hänsyn till eventuella uppdateringar eller buggfixar som senare hittas i dessa bibliotek.

Samtidigt, påpekar att föråldrad bibliotekskod orsakar säkerhetsproblem och att det i nämnda studie visar att cirka 92 % av fallen kan undvikas genom att bara uppdatera bibliotekskoden.

Idag publicerar vi öppen källkodsutgåva av vår årliga State of Software Security-rapport. Rapporten fokuserar uteslutande på säkerheten för bibliotek med öppen källkod och inkluderar analys av 13 miljoner skanningar av mer än 86.000 301.000 arkiv, som innehåller mer än XNUMX XNUMX unika bibliotek.

I förra årets Open Source Edition-rapport tog vi en ögonblicksbild av användningen och säkerheten för bibliotek med öppen källkod. I år gick vi längre än en ögonblicksbild för att undersöka dynamiken i biblioteksutveckling och hur utvecklare reagerar på biblioteksförändringar, inklusive upptäckten av buggar.

Förutom det ursäkterna för att biblioteken inte är uppdaterade, Det beror på det till ett eventuellt kompatibilitetsfel som för det mesta är ogrundade. Inför den här typen av ursäkter Veracode bevisade motsatsen i sin studie att cirka 69 % av de studerade fallen, nämnda sårbarheter åtgärdades i patchutgåvor som inte var relaterade till förändringar i funktionalitet.

 Rapporten avslöjar att även om bibliotek med öppen källkod är grunden för nästan all programvara, är det inte en solid grund, utan snarare en ständigt utvecklande och föränderlig grund. Utvecklingsmetoderna anpassar sig dock inte alltid till dessa biblioteks dynamiska karaktär, vilket lämnar organisationer utsatta. 

Tambien nämner att påverkan också utövas genom att utvecklarna informeras om uppkomsten av sårbarheter: si utvecklarna har meddelats av ett problem i biblioteket, i 17 % av fallen löstes problemet på en timme och 25 % på en vecka.

Om det fanns information om hur en sårbarhet i biblioteket kunde leda till en applikationskompromiss släpptes patchen i 50 % av fallen inom tre veckor, och utan att lämna information fick borttagningen av sårbarheten vänta i 7 månader eller mer.

En kvarts del av utvecklarna tillfrågade sa att när de väljer ett bibliotek att bädda in, huvudfokus ligger på funktionalitet och kodlicenser, och först då beaktas säkerheten.

Vi tittade på de mest populära biblioteken 2019 vs. 2020, såväl som de mest populära biblioteken med kända sårbarheter 2019 vs. 2020. Sammanfattning: du kan lägga till användningen av bibliotek med öppen källkod till listan över saker som har förändrats drastiskt i 2020. Vad som är hett och vad som inte är, och vad som är säkert och vad som inte är, förändras snabbt.

Det bör noteras att situationen med kodlicensverifiering inte är bättre: 54 % av de tillfrågade medgav att de inte alltid kontrollerar licensen för bibliotekskod innan de integrerar den i sin produkt. Endast 27 % av de tillfrågade utövar obligatorisk kontroll av licenskompatibilitet.

Slutligen, om du är intresserad av att lära dig mer om studien utförd av Veracode, kan du konsultera detaljerna I följande länk.


En kommentar, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   luix sade

    Det är vanligt att placera ett bibliotek på det lokala filsystemet istället för att länka, eftersom länken ibland ändras och funktionalitet går förlorad.