Các vấn đề bảo mật cũng do việc sử dụng thư viện của bên thứ ba

Vài ngày trước Veracode (một công ty bảo mật ứng dụng) làm cho nó được biết đến thông qua một bài đăng trên blog, một nghiên cứu về các vấn đề bảo mật do việc kết hợp các thư viện nguồn mở gây ra trong các ứng dụng.

Kết quả của việc quét 86 kho lưu trữ và khảo sát gần 79 nhà phát triển, người ta xác định rằng XNUMX% các dự án thư viện của bên thứ ba được chuyển sang mã không bao giờ được cập nhật sau đó.

Veracode chỉ ra trong việc học của anh ấyhoặc đó là vấn đề chính liên quan đến các vấn đề bảo mật trong các ứng dụng sử dụng thư viện mã nguồn mở thay vì liên kết động chúng, nhiều công ty họ chỉ bao gồm các thư viện cần thiết trong các dự án của bạn mà không tính đến các bản cập nhật có thể có hoặc các giải pháp cho các lỗi được tìm thấy sau này trong các thư viện này.

Đồng thời lưu ý rằng mã thư viện lỗi thời gây ra sự cố bảo mật và trong nghiên cứu này, nó chỉ ra rằng khoảng 92% trường hợp có thể tránh được chỉ đơn giản bằng cách cập nhật mã thư viện.

Hôm nay, chúng tôi xuất bản phiên bản mã nguồn mở của báo cáo Nhà nước về An ninh Phần mềm hàng năm của chúng tôi. Tập trung hoàn toàn vào vấn đề bảo mật của các thư viện mã nguồn mở, báo cáo bao gồm phân tích 13 triệu bản quét từ hơn 86.000 kho, chứa hơn 301.000 thư viện duy nhất.

Trong báo cáo ấn bản nguồn mở năm ngoái, chúng tôi đã xem xét ảnh chụp nhanh về việc sử dụng và bảo mật của các thư viện nguồn mở. Năm nay, chúng tôi đã vượt ra ngoài ảnh chụp nhanh theo thời gian để kiểm tra động lực phát triển thư viện và cách các nhà phát triển phản ứng với những thay đổi của thư viện, bao gồm cả việc phát hiện lỗi.

bên cạnh đó lý do là các thư viện không được cập nhật, Đó là do khả năng tương thích không thành công mà hầu hết là không có cơ sở. Đối mặt với những loại lý do Veracode đã chứng minh điều ngược lại trong nghiên cứu của họ rằng khoảng 69% các trường hợp được nghiên cứu, cho biết các lỗ hổng đã được sửa trong các bản vá lỗi không liên quan đến những thay đổi trong chức năng.

 Báo cáo tiết lộ rằng mặc dù thư viện mã nguồn mở là nền tảng của hầu hết tất cả các phần mềm, nhưng nó không phải là một nền tảng vững chắc, mà là một nền tảng không ngừng phát triển và thay đổi. Tuy nhiên, thực tiễn phát triển không phải lúc nào cũng thích ứng với bản chất năng động của các thư viện này, khiến các tổ chức bị lộ diện. 

Ngoài ra đề cập rằng tác động cũng được thực hiện bằng cách thông báo cho các nhà phát triển về sự xuất hiện của các lỗ hổng: stôi các nhà phát triển đã được thông báo của một vấn đề trong thư viện, trong 17% trường hợp vấn đề đã được giải quyết trong một giờ và 25% trong một tuần.

Nếu có thông tin về cách một lỗ hổng trong thư viện có thể dẫn đến việc xâm phạm ứng dụng, trong 50% trường hợp, bản vá được phát hành sau ba tuần và nếu không cung cấp thông tin, việc xóa lỗ hổng phải đợi từ 7 tháng trở lên.

Một phần tư trong số các nhà phát triển được khảo sát cho biết rằng khi chọn một thư viện để nhúng, trọng tâm chính là chức năng và giấy phép mã, và chỉ sau đó bảo mật mới được xem xét.

Chúng tôi xem xét các thư viện phổ biến nhất trong năm 2019 so với năm 2020, cũng như các thư viện phổ biến nhất có lỗ hổng bảo mật đã biết trong năm 2019 so với năm 2020. Điểm mấu chốt: bạn có thể thêm việc sử dụng thư viện nguồn mở vào danh sách những thứ đã thay đổi đáng kể trong 2020. Cái gì hot và cái gì không, cái gì an toàn và cái gì không, thay đổi nhanh chóng.

Cần lưu ý rằng tình hình với việc xác minh giấy phép mã cũng không khá hơn: 54% người được hỏi thừa nhận rằng họ không phải lúc nào cũng xác minh giấy phép cho mã thư viện trước khi tích hợp nó vào sản phẩm của họ. Chỉ 27% người được hỏi thực hành xác minh tính tương thích của giấy phép bắt buộc.

Cuối cùng, nếu bạn muốn biết thêm về nghiên cứu do Veracode thực hiện, bạn có thể tham khảo chi tiết Trong liên kết sau đây.


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

Một bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   luix dijo

    Người ta thường đặt một thư viện trên hệ thống tệp cục bộ thay vì liên kết, vì đôi khi liên kết thay đổi và chức năng bị mất.