ปัญหาด้านความปลอดภัยยังเกิดจากการใช้ไลบรารีของบุคคลที่สาม

Darkcrizt

นาทีที่ 4

บางวันที่ผ่านมา รหัส Vera (บริษัทรักษาความปลอดภัยแอปพลิเคชัน) ทำให้เป็นที่รู้จัก ผ่านบล็อกโพสต์ การศึกษาปัญหาด้านความปลอดภัยที่เกิดจากการรวมตัวของห้องสมุดโอเพ่นซอร์ส ในแอปพลิเคชัน

จากการสแกนที่เก็บ 86 ที่เก็บและการสำรวจนักพัฒนาเกือบ 79 คน พบว่า XNUMX% ของโครงการห้องสมุดบุคคลที่สามที่โอนไปยังโค้ดจะไม่ได้รับการอัปเดตในภายหลัง

รหัส Vera ชี้ให้เห็น ในการศึกษาของเขาหรือว่าปัญหาหลัก ที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยในการใช้งานที่ ใช้ไลบรารีโอเพ่นซอร์สคือแทนที่จะเชื่อมโยงแบบไดนามิก,หลายบริษัท พวกเขาเพียงแค่รวม ไลบรารีที่จำเป็นในโครงการของคุณ โดยไม่คำนึงถึงการอัปเดตหรือวิธีแก้ไขที่เป็นไปได้สำหรับข้อผิดพลาดที่พบในไลบรารีเหล่านี้ในภายหลัง

ในเวลาเดียวกัน สังเกตว่ารหัสห้องสมุดที่ล้าสมัยทำให้เกิดปัญหาด้านความปลอดภัย และในการศึกษานี้แสดงให้เห็นว่าประมาณ 92% ของกรณีทั้งหมดสามารถหลีกเลี่ยงได้โดยการอัปเดตรหัสห้องสมุด

วันนี้เราเผยแพร่รายงาน State of Software Security ประจำปีฉบับโอเพนซอร์ส รายงานนี้เน้นเฉพาะการรักษาความปลอดภัยของไลบรารีโอเพนซอร์ส รวมถึงการวิเคราะห์การสแกน 13 ล้านครั้งจากที่เก็บมากกว่า 86.000 แห่ง ซึ่งมีไลบรารีที่ไม่ซ้ำกันมากกว่า 301.000 แห่ง

ในรายงานฉบับโอเพนซอร์สของปีที่แล้ว เราได้ดูภาพรวมของการใช้และความปลอดภัยของไลบรารีโอเพนซอร์ส ในปีนี้ เราได้ทำมากกว่าแค่สแน็ปช็อตในช่วงเวลาหนึ่งเพื่อตรวจสอบพลวัตของการพัฒนาห้องสมุดและวิธีที่นักพัฒนาตอบสนองต่อการเปลี่ยนแปลงของห้องสมุด

นอกเหนือจากนั้น ข้อแก้ตัวที่ห้องสมุดไม่ได้รับการปรับปรุง ถึงกำหนดแล้ว ความล้มเหลวของความเข้ากันได้ที่เป็นไปได้ ซึ่งส่วนใหญ่ไม่มีมูล ต้องเผชิญกับข้อแก้ตัวแบบนี้ Veracode พิสูจน์แล้วว่าตรงกันข้าม ในการศึกษาของพวกเขาว่าประมาณ 69% ของกรณีศึกษา กล่าวว่าช่องโหว่ได้รับการแก้ไขแล้วในแพตช์ที่เผยแพร่ ที่ไม่เกี่ยวข้องกับการเปลี่ยนแปลงการทำงาน

 รายงานเปิดเผยว่าแม้ว่าไลบรารีโอเพ่นซอร์สจะเป็นรากฐานของซอฟต์แวร์เกือบทั้งหมด แต่ก็ไม่ใช่รากฐานที่มั่นคง แต่เป็นรากฐานที่เปลี่ยนแปลงตลอดเวลา อย่างไรก็ตาม แนวทางการพัฒนาไม่ได้ปรับให้เข้ากับธรรมชาติแบบไดนามิกของห้องสมุดเหล่านี้เสมอไป ซึ่งทำให้องค์กรถูกเปิดเผย 

tambien กล่าวถึงผลกระทบที่เกิดขึ้นจากการแจ้งให้นักพัฒนาทราบด้วย เกี่ยวกับการปรากฏตัวของช่องโหว่: sฉันนักพัฒนาได้รับแจ้ง ของปัญหาในห้องสมุดใน 17% ของกรณีที่ปัญหาได้รับการแก้ไข ในหนึ่งชั่วโมงและ 25% ในหนึ่งสัปดาห์

หากมีข้อมูลเกี่ยวกับช่องโหว่ในไลบรารีที่อาจนำไปสู่การประนีประนอมแอปพลิเคชัน โดย 50% ของกรณีที่แพทช์ออกในสามสัปดาห์และโดยไม่ต้องให้ข้อมูล การลบช่องโหว่ต้องรอ 7 เดือนหรือมากกว่า

ส่วนไตรมาส ของนักพัฒนาที่สำรวจกล่าวว่าเมื่อเลือกห้องสมุด เพื่อฝัง เน้นที่การใช้งานเป็นหลัก และรหัสไลเซนส์แล้วเท่านั้นจึงจะถือว่าความปลอดภัย

เราดูไลบรารีที่ได้รับความนิยมมากที่สุดในปี 2019 กับ 2020 รวมถึงไลบรารียอดนิยมที่มีช่องโหว่ที่รู้จักในปี 2019 กับ 2020 สิ่งสำคัญที่สุด: คุณสามารถเพิ่มการใช้ไลบรารีโอเพ่นซอร์สในรายการสิ่งที่เปลี่ยนแปลงอย่างมากใน 2020 อะไรร้อน อะไรไม่ อะไรปลอดภัย อะไรไม่ เปลี่ยนแปลงอย่างรวดเร็ว

ควรสังเกตว่าสถานการณ์ที่มีการตรวจสอบสิทธิ์การใช้งานรหัสนั้นไม่ได้ดีไปกว่านี้แล้ว: 54% ของผู้ตอบแบบสอบถามยอมรับว่าพวกเขาไม่ได้ตรวจสอบใบอนุญาตสำหรับรหัสห้องสมุดทุกครั้งก่อนที่จะรวมเข้ากับผลิตภัณฑ์ของตน มีเพียง 27% ของผู้ตอบแบบสอบถามเท่านั้นที่ฝึกฝนการตรวจสอบความเข้ากันได้ของใบอนุญาตที่จำเป็น

สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการศึกษาที่ดำเนินการโดย Veracode คุณสามารถศึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   Luix dijo
    มาแล้ว ปี 3

    เป็นเรื่องปกติที่จะวางไลบรารีบนระบบไฟล์ในเครื่องแทนการลิงก์ เนื่องจากบางครั้งลิงก์อาจมีการเปลี่ยนแปลงและฟังก์ชันการทำงานอาจสูญหายไป

    ตอบกลับ luix