Проблеми з безпекою також спричинені використанням сторонніх бібліотек

Кілька днів тому Веракода (компанія, що займається захистом додатків) дав про це знати через допис у блозі, дослідження проблем безпеки, викликаних включенням бібліотек з відкритим кодом в додатках.

В результаті сканування 86 79 сховищ та опитування майже XNUMX розробників було встановлено, що XNUMX% сторонніх бібліотечних проектів, переданих в код, ніколи не оновлюються згодом.

Веракода вказує на те у своєму кабінетіабо це головна проблема пов'язані з проблемами безпеки в програмах, які використання бібліотек з відкритим кодом полягає в тому, що замість динамічного їх зв’язування, багато компаній вони просто включають необхідні бібліотеки у ваших проектах, не беручи до уваги можливі оновлення або рішення помилок, знайдених пізніше в цих бібліотеках.

Водночас зазначає, що застарілий бібліотечний код викликає проблеми з безпекою і що в цьому дослідженні показано, що приблизно 92% випадків можна уникнути, просто оновивши бібліотечний код.

Сьогодні ми публікуємо відкрите видання нашого щорічного звіту про стан програмної безпеки. Зосереджуючись виключно на безпеці бібліотек з відкритим кодом, звіт включає аналіз 13 мільйонів сканувань із понад 86.000 301.000 сховищ, що містять понад XNUMX XNUMX унікальних бібліотек.

У минулорічному звіті з відкритим кодом ми розглянули знімок використання та безпеки бібліотек з відкритим кодом. Цього року ми вийшли за межі моментального знімка, щоб вивчити динаміку розвитку бібліотеки та реакцію розробників на зміни в бібліотеці, включаючи виявлення помилок.

Крім того виправдання, що бібліотеки не оновлюються, Це належне до можливого збою сумісності які є переважно необґрунтованими. Зіткнувшись із подібними виправданнями Веракод довів протилежне у своєму дослідженні, що близько 69% вивчених випадків, зазначені вразливості були виправлені у випусках виправлень які не були пов’язані зі зміною функціональних можливостей.

 Звіт показує, що хоча бібліотеки з відкритим кодом є основою майже всього програмного забезпечення, це не міцний фундамент, а навпаки, що постійно змінюється та змінюється. Однак практики розвитку не завжди пристосовуються до динамічного характеру цих бібліотек, залишаючи відкритими організації. 

Тамбієн згадує, що вплив також здійснюється шляхом інформування розробників щодо появи вразливостей: ся розробники отримали повідомлення проблеми в бібліотеці, в У 17% випадків проблема була вирішена за годину і 25% за тиждень.

Якщо існувала інформація про те, як уразливість у бібліотеці може призвести до компрометації програми, у 50% випадків виправлення було випущено за три тижні, і без надання інформації видалення вразливості доводилося чекати 7 місяців і більше.

Чверть частини опитуваних розробників зазначили, що при виборі бібліотеки вбудовувати, основна увага приділяється функціональності та кодових ліцензій, і лише тоді розглядається безпека.

Ми розглянемо найпопулярніші бібліотеки у 2019 проти 2020 року, а також найпопулярніші бібліотеки з відомими вразливими місцями у 2019 проти 2020. Підсумок: ви можете додати використання бібліотек з відкритим кодом до списку речей, які кардинально змінилися в 2020. Що гаряче, а що ні, а що безпечно, а що ні, швидко змінюється.

Слід зазначити, що ситуація з верифікацією ліцензійного коду не краща: 54% респондентів визнали, що не завжди перевіряють ліцензію на бібліотечний код, перш ніж інтегрувати її у свій продукт. Лише 27% респондентів практикують обов’язкову перевірку сумісності ліцензій.

Нарешті, якщо вам цікаво дізнатись більше про дослідження, проведене Veracode, ви можете проконсультуватися з деталями У наступному посиланні.


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

Коментар, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   luix - сказав він

    Загальноприйнято розміщувати бібліотеку в локальній файловій системі замість посилання, оскільки іноді посилання змінюється і функціональність втрачається.