บางวันที่ผ่านมา รหัส Vera (บริษัทรักษาความปลอดภัยแอปพลิเคชัน) ทำให้เป็นที่รู้จัก ผ่านบล็อกโพสต์ การศึกษาปัญหาด้านความปลอดภัยที่เกิดจากการรวมตัวของห้องสมุดโอเพ่นซอร์ส ในแอปพลิเคชัน
จากการสแกนที่เก็บ 86 ที่เก็บและการสำรวจนักพัฒนาเกือบ 79 คน พบว่า XNUMX% ของโครงการห้องสมุดบุคคลที่สามที่โอนไปยังโค้ดจะไม่ได้รับการอัปเดตในภายหลัง
รหัส Vera ชี้ให้เห็น ในการศึกษาของเขาหรือว่าปัญหาหลัก ที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยในการใช้งานที่ ใช้ไลบรารีโอเพ่นซอร์สคือแทนที่จะเชื่อมโยงแบบไดนามิก,หลายบริษัท พวกเขาเพียงแค่รวม ไลบรารีที่จำเป็นในโครงการของคุณ โดยไม่คำนึงถึงการอัปเดตหรือวิธีแก้ไขที่เป็นไปได้สำหรับข้อผิดพลาดที่พบในไลบรารีเหล่านี้ในภายหลัง
ในเวลาเดียวกัน สังเกตว่ารหัสห้องสมุดที่ล้าสมัยทำให้เกิดปัญหาด้านความปลอดภัย และในการศึกษานี้แสดงให้เห็นว่าประมาณ 92% ของกรณีทั้งหมดสามารถหลีกเลี่ยงได้โดยการอัปเดตรหัสห้องสมุด
วันนี้เราเผยแพร่รายงาน State of Software Security ประจำปีฉบับโอเพนซอร์ส รายงานนี้เน้นเฉพาะการรักษาความปลอดภัยของไลบรารีโอเพนซอร์ส รวมถึงการวิเคราะห์การสแกน 13 ล้านครั้งจากที่เก็บมากกว่า 86.000 แห่ง ซึ่งมีไลบรารีที่ไม่ซ้ำกันมากกว่า 301.000 แห่ง
ในรายงานฉบับโอเพนซอร์สของปีที่แล้ว เราได้ดูภาพรวมของการใช้และความปลอดภัยของไลบรารีโอเพนซอร์ส ในปีนี้ เราได้ทำมากกว่าแค่สแน็ปช็อตในช่วงเวลาหนึ่งเพื่อตรวจสอบพลวัตของการพัฒนาห้องสมุดและวิธีที่นักพัฒนาตอบสนองต่อการเปลี่ยนแปลงของห้องสมุด
นอกเหนือจากนั้น ข้อแก้ตัวที่ห้องสมุดไม่ได้รับการปรับปรุง ถึงกำหนดแล้ว ความล้มเหลวของความเข้ากันได้ที่เป็นไปได้ ซึ่งส่วนใหญ่ไม่มีมูล ต้องเผชิญกับข้อแก้ตัวแบบนี้ Veracode พิสูจน์แล้วว่าตรงกันข้าม ในการศึกษาของพวกเขาว่าประมาณ 69% ของกรณีศึกษา กล่าวว่าช่องโหว่ได้รับการแก้ไขแล้วในแพตช์ที่เผยแพร่ ที่ไม่เกี่ยวข้องกับการเปลี่ยนแปลงการทำงาน
รายงานเปิดเผยว่าแม้ว่าไลบรารีโอเพ่นซอร์สจะเป็นรากฐานของซอฟต์แวร์เกือบทั้งหมด แต่ก็ไม่ใช่รากฐานที่มั่นคง แต่เป็นรากฐานที่เปลี่ยนแปลงตลอดเวลา อย่างไรก็ตาม แนวทางการพัฒนาไม่ได้ปรับให้เข้ากับธรรมชาติแบบไดนามิกของห้องสมุดเหล่านี้เสมอไป ซึ่งทำให้องค์กรถูกเปิดเผย
tambien กล่าวถึงผลกระทบที่เกิดขึ้นจากการแจ้งให้นักพัฒนาทราบด้วย เกี่ยวกับการปรากฏตัวของช่องโหว่: sฉันนักพัฒนาได้รับแจ้ง ของปัญหาในห้องสมุดใน 17% ของกรณีที่ปัญหาได้รับการแก้ไข ในหนึ่งชั่วโมงและ 25% ในหนึ่งสัปดาห์
หากมีข้อมูลเกี่ยวกับช่องโหว่ในไลบรารีที่อาจนำไปสู่การประนีประนอมแอปพลิเคชัน โดย 50% ของกรณีที่แพทช์ออกในสามสัปดาห์และโดยไม่ต้องให้ข้อมูล การลบช่องโหว่ต้องรอ 7 เดือนหรือมากกว่า
ส่วนไตรมาส ของนักพัฒนาที่สำรวจกล่าวว่าเมื่อเลือกห้องสมุด เพื่อฝัง เน้นที่การใช้งานเป็นหลัก และรหัสไลเซนส์แล้วเท่านั้นจึงจะถือว่าความปลอดภัย
เราดูไลบรารีที่ได้รับความนิยมมากที่สุดในปี 2019 กับ 2020 รวมถึงไลบรารียอดนิยมที่มีช่องโหว่ที่รู้จักในปี 2019 กับ 2020 สิ่งสำคัญที่สุด: คุณสามารถเพิ่มการใช้ไลบรารีโอเพ่นซอร์สในรายการสิ่งที่เปลี่ยนแปลงอย่างมากใน 2020 อะไรร้อน อะไรไม่ อะไรปลอดภัย อะไรไม่ เปลี่ยนแปลงอย่างรวดเร็ว
ควรสังเกตว่าสถานการณ์ที่มีการตรวจสอบสิทธิ์การใช้งานรหัสนั้นไม่ได้ดีไปกว่านี้แล้ว: 54% ของผู้ตอบแบบสอบถามยอมรับว่าพวกเขาไม่ได้ตรวจสอบใบอนุญาตสำหรับรหัสห้องสมุดทุกครั้งก่อนที่จะรวมเข้ากับผลิตภัณฑ์ของตน มีเพียง 27% ของผู้ตอบแบบสอบถามเท่านั้นที่ฝึกฝนการตรวจสอบความเข้ากันได้ของใบอนุญาตที่จำเป็น
สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการศึกษาที่ดำเนินการโดย Veracode คุณสามารถศึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.
เป็นเรื่องปกติที่จะวางไลบรารีบนระบบไฟล์ในเครื่องแทนการลิงก์ เนื่องจากบางครั้งลิงก์อาจมีการเปลี่ยนแปลงและฟังก์ชันการทำงานอาจสูญหายไป