Ang mga isyu sa seguridad ay sanhi din ng paggamit ng mga aklatan ng third-party

Ilang araw na nakalipas Vera code (isang kumpanya ng seguridad ng aplikasyon) ipinaalam ito sa pamamagitan ng isang post sa blog, isang pag-aaral sa mga problemang panseguridad na dulot ng pagsasama ng mga open source na aklatan sa mga application.

Bilang isang resulta ng pag-scan ng 86 mga repository at isang survey ng halos 79 mga developer, natukoy na XNUMX% ng mga proyekto ng library ng third-party na inilipat sa code ay hindi na na-update pagkatapos.

Vera code tumuturo sa kanyang pag-aaralo iyon ang pangunahing problema nauugnay sa mga problema sa seguridad sa mga application na gumamit ng mga open source na aklatan ay na sa halip na dinamikong pag-uugnay sa kanila, maraming mga kumpanya isinasama lang nila ang mga kinakailangang aklatan sa iyong mga proyekto, nang hindi isinasaalang-alang ang mga posibleng pag-update o solusyon sa mga error na natagpuan sa paglaon sa mga libraryong ito.

Kasabay nito, tala na ang hindi napapanahong code ng aklatan ay nagdudulot ng mga isyu sa seguridad at sa pag-aaral na ito ipinapakita na sa paligid ng 92% ng mga kaso ay maiiwasan sa pamamagitan lamang ng pag-update ng code ng library.

Ngayon ay nai-publish namin ang bukas na mapagkukunang edisyon ng aming taunang ulat ng State of Software Security. Eksklusibo nakatuon sa seguridad ng mga bukas na mapagkukunan ng aklatan, kasama sa ulat ang pagtatasa ng 13 milyong mga pag-scan mula sa higit sa 86.000 na mga repositoryo, na naglalaman ng higit sa 301.000 natatanging mga aklatan.

Sa ulat ng open source edition ng nakaraang taon, tiningnan namin ang isang snapshot ng paggamit at seguridad ng mga open source library. Ngayong taon, lumampas kami sa isang point-in-time na snapshot upang suriin ang dynamics ng pagpapaunlad ng library at kung paano tumugon ang mga developer sa mga pagbabago sa library, kabilang ang pagtuklas ng bug.

Bukod doon ang mga dahilan na ang mga aklatan ay hindi na-update, Ito ay dahil sa isang posibleng pagkabigo sa pagiging tugma na karamihan ay walang batayan. Nahaharap sa mga ganitong uri ng palusot Pinatunayan ng Veracode ang kabaligtaran sa kanilang pag-aaral na halos 69% ng mga kaso na pinag-aralan, sinabi na ang mga kahinaan ay naayos sa mga paglabas ng patch na hindi nauugnay sa mga pagbabago sa pagpapaandar.

 Inihayag ng ulat na habang ang mga bukas na sangguniang aklatan ay pundasyon ng halos lahat ng software, ito ay hindi isang matibay na pundasyon, ngunit isang pundasyon na patuloy na nagbabago at nagbabago. Gayunpaman, ang mga kasanayan sa pag-unlad ay hindi palaging umaangkop sa pabago-bagong likas na katangian ng mga silid-aklatan na ito, na inilalantad ang mga organisasyon. 

Gayundin binabanggit na ang epekto ay ipinataw din sa pamamagitan ng pagpapaalam sa mga developer sa hitsura ng mga kahinaan: sako ay inabisuhan ang mga nag-develop ng isang problema sa silid-aklatan, sa 17% ng mga kaso ang problema ay nalutas sa isang oras at 25% sa isang linggo.

Kung mayroong impormasyon tungkol sa kung paano ang isang kahinaan sa silid-aklatan ay maaaring humantong sa ikompromiso ang isang aplikasyon, sa 50% ng mga kaso ang patch ay inilabas sa tatlong linggo, at nang hindi nagbibigay ng impormasyon, ang pagtanggal ng kahinaan ay kailangang maghintay ng 7 buwan o higit pa.

Isang kapat na bahagi ng mga nag-develop na survey na sinabi na kapag pumipili ng isang library para ilagay, ang pangunahing pokus ay ang pagpapaandar at mga lisensya sa code, at pagkatapos lamang isasaalang-alang ang seguridad.

Tinitingnan namin ang pinakatanyag na mga aklatan sa 2019 kumpara sa 2020, pati na rin ang pinakatanyag na mga aklatan na may kilalang mga kahinaan sa 2019 kumpara sa 2020. Sa ilalim na linya: maaari mong idagdag ang paggamit ng mga bukas na mapagkukunan ng aklatan sa listahan ng mga bagay na nagbago nang malaki 2020. Ano ang mainit at kung ano ang hindi, at kung ano ang ligtas at kung ano ang hindi, mabilis na nagbabago.

Dapat pansinin na ang sitwasyon sa pag-verify ng lisensya ng code ay hindi mas mahusay: 54% ng mga respondente ang umamin na hindi nila palaging napatunayan ang lisensya para sa library code bago isama ito sa kanilang produkto. 27% lamang ng mga respondente ang nagsasagawa ng ipinag-uutos na pagpapatunay sa pagiging tugma ng lisensya.

Panghuli, kung interesado kang malaman ang higit pa tungkol sa pag-aaral na isinagawa ng Veracode, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.


Isang komento, iwan mo na

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   kalmado dijo

    Karaniwan na maglagay ng isang silid-aklatan sa lokal na file system sa halip na mag-link, dahil kung minsan nawala ang pag-link at pag-andar ay nawala.