سیکیورٹی کے مسائل بھی تیسری پارٹی کے لائبریریوں کے استعمال کی وجہ سے ہیں

کچھ دن پہلے ویراکوڈ (ایک درخواست سیکیورٹی کمپنی) اسے معلوم کردیا ایک بلاگ پوسٹ کے ذریعے ، اوپن سورس لائبریریوں کو شامل کرنے کی وجہ سے سیکیورٹی کے مسائل پر ایک مطالعہ درخواستوں میں.

،86 rep،.. rep ذخیروں کو اسکین کرنے اور تقریبا 79،XNUMX دو ہزار ڈویلپرز کے سروے کے نتیجے میں ، یہ طے کیا گیا ہے کہ کوڈ میں منتقل کردہ تھرڈ پارٹی لائبریری کے٪٪٪ فیصد کبھی بھی اپ ڈیٹ نہیں ہوتے ہیں۔

ویراکوڈ پوائنٹس باہر اس کے مطالعہ میںیا وہ بنیادی مسئلہ ہے درخواستوں میں سیکیورٹی کے مسائل سے وابستہ ہیں اوپن سورس لائبریریوں کا استعمال یہ ہے کہ ان کو متحرک طور پر جوڑنے کے بجائے، بہت سی کمپنیاں وہ صرف شامل ہیں بعد میں ان لائبریریوں میں پائی جانے والی غلطیوں کے ممکنہ اپ ڈیٹس یا ان کے حل کو مدنظر رکھے بغیر ، اپنے پروجیکٹس میں ضروری لائبریریاں۔

ایک ہی وقت میں، نوٹ کرتا ہے کہ پرانی تاریخ کا لائبریری کوڈ سیکیورٹی کے مسائل کا سبب بنتا ہے اور یہ کہ اس مطالعے سے یہ ظاہر ہوتا ہے کہ لائبریری کے کوڈ کو اپ ڈیٹ کرکے صرف 92٪ کے معاملات سے بچا جاسکتا ہے۔

آج ہم اپنی سالانہ اسٹیٹ آف سافٹ ویئر سیکیورٹی رپورٹ کا اوپن سورس ایڈیشن شائع کرتے ہیں۔ اوپن سورس لائبریریوں کی سیکیورٹی پر خصوصی توجہ مرکوز کرتے ہوئے ، اس رپورٹ میں 13،86.000 سے زیادہ ذخیروں کے 301.000 ملین اسکینوں کا تجزیہ کیا گیا ہے ، جس میں XNUMX،XNUMX سے زیادہ منفرد لائبریری شامل ہیں۔

پچھلے سال کی اوپن سورس ایڈیشن کی رپورٹ میں ، ہم نے اوپن سورس لائبریریوں کے استعمال اور حفاظت کا ایک سنیپ شاٹ دیکھا۔ اس سال ، ہم لائبریری کی ترقی کی حرکیات اور بگ کی دریافت سمیت لائبریری تبدیلیوں پر کس طرح ڈویلپرز کا ردِ عمل ظاہر کرتے ہیں اس کی جانچ پڑتال کے لئے ایک نقطہ وقتی اسنیپ شاٹ سے آگے بڑھ گئے۔

اس کے علاوہ یہ عذر کہ لائبریریوں کو اپ ڈیٹ نہیں کیا جاتا ہے ، اس کی وجہ ہے ممکنہ مطابقت کی ناکامی پر جو زیادہ تر بے بنیاد ہیں۔ اس طرح کے بہانوں کا سامنا کرنا پڑا ویراکوڈ نے اس کے برعکس ثابت کیا ان کے مطالعے میں بتایا گیا کہ تقریبا 69 فیصد مقدمات کا مطالعہ کیا گیا ، انہوں نے کہا کہ پیچ کی رہائی میں کمزوریاں طے کی گئی ہیں جو فعالیت میں تبدیلیوں سے متعلق نہیں تھے۔

 رپورٹ میں انکشاف کیا گیا ہے کہ اگرچہ اوپن سورس لائبریریاں تقریبا almost تمام سافٹ ویئر کی بنیاد ہیں ، لیکن یہ ایک مستحکم بنیاد نہیں ہے بلکہ ایک ہمیشہ تیار اور بدلتی ہوئی بنیاد ہے۔ تاہم ، ترقیاتی عمل ہمیشہ ان لائبریریوں کی متحرک نوعیت کے مطابق نہیں اپناتے ہیں ، جس سے تنظیموں کو بے نقاب کیا جاتا ہے۔ 

بھی ذکر کریں کہ اس کا اثر ڈویلپرز کو مطلع کرکے بھی کیا جاتا ہے خطرات کی ظاہری شکل پر: si ڈویلپرز کو مطلع کیا گیا میں ، لائبریری میں ایک مسئلہ کی معاملات میں سے 17٪ حل ہو گیا تھا ایک گھنٹے میں اور ایک ہفتے میں 25٪۔

اگر اس بارے میں معلومات موجود تھیں کہ کس طرح کتب خانہ میں کمزوری سے کسی درخواست پر سمجھوتہ ہوسکتا ہے ، تو 50 ہفتوں میں پیچ چھوڑا گیا ، اور معلومات فراہم کیے بغیر ، خطرے کے خاتمے کے لئے 7 ماہ یا اس سے زیادہ انتظار کرنا پڑا۔

ایک چوتھائی حصہ سروے شدہ ڈویلپرز نے کہا کہ لائبریری کا انتخاب کرتے وقت سرایت کرنے کے لئے ، بنیادی توجہ فعالیت پر ہے اور کوڈ لائسنس ، اور تب ہی سیکیورٹی پر غور کیا جائے گا۔

ہم 2019 میں بمقابلہ 2020 کی مشہور لائبریریوں کے ساتھ ساتھ 2019 میں بمقابلہ 2020 میں مشہور خطرات کے حامل مشہور لائبریریوں کو بھی دیکھتے ہیں۔ نیچے لائن: آپ اوپن سورس لائبریریوں کے استعمال کو ان چیزوں کی فہرست میں شامل کرسکتے ہیں جو ڈرامائی انداز میں تبدیل ہوئیں۔ 2020. کیا گرم ہے اور کیا نہیں ، اور کیا محفوظ ہے اور کیا نہیں ، تیزی سے تبدیل ہوتا ہے۔

یہ واضح رہے کہ کوڈ لائسنس کی توثیق کی صورتحال بہتر نہیں ہے: جواب دہندگان میں سے 54٪ نے اعتراف کیا ہے کہ وہ لائبریری کوڈ کے لائسنس کو اپنی مصنوعات میں ضم کرنے سے پہلے ہمیشہ تصدیق نہیں کرتے ہیں۔ جواب دہندگان میں سے صرف 27 license لازمی لائسنس مطابقت کی تصدیق پر عمل کرتے ہیں۔

آخر میں ، اگر آپ ویراکوڈ کے ذریعہ کئے گئے مطالعے کے بارے میں مزید معلومات حاصل کرنے میں دلچسپی رکھتے ہیں تو ، آپ تفصیلات سے مشورہ کرسکتے ہیں مندرجہ ذیل لنک میں


مضمون کا مواد ہمارے اصولوں پر کاربند ہے ادارتی اخلاقیات. غلطی کی اطلاع دینے کے لئے کلک کریں یہاں.

ایک تبصرہ ، اپنا چھوڑ دو

اپنی رائے دیں

آپ کا ای میل ایڈریس شائع نہیں کیا جائے گا. ضرورت ہے شعبوں نشان لگا دیا گیا رہے ہیں کے ساتھ *

*

*

  1. اعداد و شمار کے لئے ذمہ دار: میگل اینگل گاتین
  2. ڈیٹا کا مقصد: اسپیم کنٹرول ، تبصرے کا انتظام۔
  3. قانون سازی: آپ کی رضامندی
  4. ڈیٹا کا مواصلت: اعداد و شمار کو تیسری پارٹی کو نہیں بتایا جائے گا سوائے قانونی ذمہ داری کے۔
  5. ڈیٹا اسٹوریج: اوکیسٹس نیٹ ورکس (EU) کے میزبان ڈیٹا بیس
  6. حقوق: کسی بھی وقت آپ اپنی معلومات کو محدود ، بازیافت اور حذف کرسکتے ہیں۔

  1.   لوکس کہا

    مقامی فائل سسٹم پر لائبریری کو جوڑنے کے بجائے رکھنا عام ہے ، کیونکہ بعض اوقات لنک تبدیل ہوجاتا ہے اور فعالیت ختم ہوجاتی ہے۔