Güvenlik sorunları, üçüncü taraf kitaplıkların kullanımından da kaynaklanır.

Bir kaç gün önce veracode (bir uygulama güvenlik şirketi) bilinir kıldı bir blog yazısı aracılığıyla, açık kaynak kitaplıkların dahil edilmesinin neden olduğu güvenlik sorunları üzerine bir çalışma uygulamalarda.

86 deponun taranması ve yaklaşık 79 geliştiricinin katıldığı bir anketin sonucunda, koda aktarılan üçüncü taraf kütüphane projelerinin %XNUMX'unun daha sonra hiçbir zaman güncellenmediği belirlendi.

veracode işaret eder onun çalışmasındaya da asıl sorun uygulamalarda güvenlik sorunları ile ilişkili açık kaynak kitaplıkları kullanmak, onları dinamik olarak bağlamak yerine, Birçok şirket onlar sadece dahil olası güncellemeleri veya daha sonra bu kütüphanelerde bulunan hataların çözümlerini dikkate almadan projelerinizde gerekli kütüphaneler.

Aynı zamanda, güncel olmayan kitaplık kodunun güvenlik sorunlarına neden olduğunu not eder ve bu çalışmada, vakaların yaklaşık %92'sinin sadece kütüphane kodunu güncelleyerek önlenebileceğini gösteriyor.

Bugün, yıllık Yazılım Güvenliği Durumu raporumuzun açık kaynak sürümünü yayınlıyoruz. Yalnızca açık kaynak kitaplıklarının güvenliğine odaklanan rapor, 13'den fazla benzersiz kitaplık içeren 86.000'den fazla veri havuzundan 301.000 milyon taramanın analizini içerir.

Geçen yılın açık kaynak sürümü raporunda, açık kaynak kitaplıklarının kullanımının ve güvenliğinin bir anlık görüntüsüne baktık. Bu yıl, kitaplık geliştirme dinamiklerini ve geliştiricilerin hata bulma da dahil olmak üzere kitaplık değişikliklerine nasıl tepki verdiğini incelemek için anlık bir anlık görüntünün ötesine geçtik.

bunun yanı sıra kütüphanelerin güncellenmemesi bahaneleri, Zamanı geldi olası bir uyumluluk hatasına ki bunlar çoğunlukla asılsızdır. Bu tür bahanelerle karşı karşıya Veracode tersini kanıtladı vakaların yaklaşık %69'unun incelendiği araştırmalarında, söz konusu güvenlik açıkları yama sürümlerinde düzeltildi işlevsellikteki değişikliklerle ilgili değildi.

 Rapor, açık kaynak kitaplıklarının neredeyse tüm yazılımların temeli olmasına rağmen, bunun sağlam bir temel değil, sürekli gelişen ve değişen bir temel olduğunu ortaya koyuyor. Ancak, geliştirme uygulamaları her zaman bu kitaplıkların dinamik doğasına uyum sağlamaz ve kuruluşları açıkta bırakır. 

tambien etkinin geliştiricileri bilgilendirerek de uygulandığından bahseder güvenlik açıklarının görünümü hakkında: sgeliştiriciler bilgilendirildim kütüphanedeki bir problemin Sorunun çözüldüğü vakaların %17'si bir saatte ve bir haftada %25.

Kütüphanedeki bir güvenlik açığının bir uygulamanın güvenliğinin ihlal edilmesine nasıl yol açabileceği hakkında bilgi varsa, vakaların %50'sinde yama üç hafta içinde yayınlandı ve bilgi verilmeden güvenlik açığının ortadan kaldırılması 7 ay veya daha fazla beklemek zorunda kaldı.

Çeyrek kısım Ankete katılan geliştiricilerin yüzdesi, bir kütüphane seçerken gömmek, ana odak işlevselliktir ve kod lisansları ve ancak o zaman güvenlik dikkate alınır.

2019'a karşı 2020'deki en popüler kitaplıklara ve 2019'a karşı 2020'deki bilinen güvenlik açıklarına sahip en popüler kitaplıklara bakıyoruz. 2020. Neyin sıcak ve neyin güvenli olmadığı ve neyin güvenli olmadığı hızla değişiyor.

Kod lisansı doğrulamasında durumun daha iyi olmadığına dikkat edilmelidir: Ankete katılanların %54'ü, ürünlerine entegre etmeden önce kitaplık kodu lisansını her zaman doğrulamadıklarını itiraf etmiştir. Katılımcıların yalnızca %27'si zorunlu lisans uyumluluğu doğrulaması uygulamaktadır.

Son olarak, Veracode tarafından yürütülen çalışma hakkında daha fazla bilgi edinmek isterseniz, ayrıntılara bakabilirsiniz. Aşağıdaki bağlantıda.


Bir yorum bırak seninkini

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Luix dijo

    Bazen bağlantı değişip işlevsellik kaybolduğundan, bağlantı yerine yerel dosya sistemine bir kitaplık yerleştirmek yaygındır.