Кілька днів тому Веракода (компанія, що займається захистом додатків) дав про це знати через допис у блозі, дослідження проблем безпеки, викликаних включенням бібліотек з відкритим кодом в додатках.
В результаті сканування 86 79 сховищ та опитування майже XNUMX розробників було встановлено, що XNUMX% сторонніх бібліотечних проектів, переданих в код, ніколи не оновлюються згодом.
Веракода вказує на те у своєму кабінетіабо це головна проблема пов'язані з проблемами безпеки в програмах, які використання бібліотек з відкритим кодом полягає в тому, що замість динамічного їх зв’язування, багато компаній вони просто включають необхідні бібліотеки у ваших проектах, не беручи до уваги можливі оновлення або рішення помилок, знайдених пізніше в цих бібліотеках.
Водночас зазначає, що застарілий бібліотечний код викликає проблеми з безпекою і що в цьому дослідженні показано, що приблизно 92% випадків можна уникнути, просто оновивши бібліотечний код.
Сьогодні ми публікуємо відкрите видання нашого щорічного звіту про стан програмної безпеки. Зосереджуючись виключно на безпеці бібліотек з відкритим кодом, звіт включає аналіз 13 мільйонів сканувань із понад 86.000 301.000 сховищ, що містять понад XNUMX XNUMX унікальних бібліотек.
У минулорічному звіті з відкритим кодом ми розглянули знімок використання та безпеки бібліотек з відкритим кодом. Цього року ми вийшли за межі моментального знімка, щоб вивчити динаміку розвитку бібліотеки та реакцію розробників на зміни в бібліотеці, включаючи виявлення помилок.
Крім того виправдання, що бібліотеки не оновлюються, Це належне до можливого збою сумісності які є переважно необґрунтованими. Зіткнувшись із подібними виправданнями Веракод довів протилежне у своєму дослідженні, що близько 69% вивчених випадків, зазначені вразливості були виправлені у випусках виправлень які не були пов’язані зі зміною функціональних можливостей.
Звіт показує, що хоча бібліотеки з відкритим кодом є основою майже всього програмного забезпечення, це не міцний фундамент, а навпаки, що постійно змінюється та змінюється. Однак практики розвитку не завжди пристосовуються до динамічного характеру цих бібліотек, залишаючи відкритими організації.
Тамбієн згадує, що вплив також здійснюється шляхом інформування розробників щодо появи вразливостей: ся розробники отримали повідомлення проблеми в бібліотеці, в У 17% випадків проблема була вирішена за годину і 25% за тиждень.
Якщо існувала інформація про те, як уразливість у бібліотеці може призвести до компрометації програми, у 50% випадків виправлення було випущено за три тижні, і без надання інформації видалення вразливості доводилося чекати 7 місяців і більше.
Чверть частини опитуваних розробників зазначили, що при виборі бібліотеки вбудовувати, основна увага приділяється функціональності та кодових ліцензій, і лише тоді розглядається безпека.
Ми розглянемо найпопулярніші бібліотеки у 2019 проти 2020 року, а також найпопулярніші бібліотеки з відомими вразливими місцями у 2019 проти 2020. Підсумок: ви можете додати використання бібліотек з відкритим кодом до списку речей, які кардинально змінилися в 2020. Що гаряче, а що ні, а що безпечно, а що ні, швидко змінюється.
Слід зазначити, що ситуація з верифікацією ліцензійного коду не краща: 54% респондентів визнали, що не завжди перевіряють ліцензію на бібліотечний код, перш ніж інтегрувати її у свій продукт. Лише 27% респондентів практикують обов’язкову перевірку сумісності ліцензій.
Нарешті, якщо вам цікаво дізнатись більше про дослідження, проведене Veracode, ви можете проконсультуватися з деталями У наступному посиланні.
Загальноприйнято розміщувати бібліотеку в локальній файловій системі замість посилання, оскільки іноді посилання змінюється і функціональність втрачається.