前几天 Veracode的 (应用安全公司) 广为人知 通过博客文章, 开源库并入导致的安全问题研究 在应用程序中。
通过扫描 86 个存储库和对近 79 名开发人员的调查,确定 XNUMX% 转移到代码的第三方库项目随后从未更新。
Veracode的 指出 在他的书房或者主要问题 与应用程序中的安全问题相关联 使用开源库而不是动态链接它们,很多公司 他们只是包括 项目中必要的库,而不考虑这些库中稍后发现的错误的可能更新或解决方案。
与此同时, 注意过时的库代码会导致安全问题 并且在这项研究中,它表明只需更新库代码就可以避免大约 92% 的情况。
今天,我们发布了年度软件安全状况报告的开源版本。 该报告专注于开源库的安全性,包括对来自 13 多个存储库的 86.000 万次扫描的分析,其中包含超过 301.000 个独特的库。
在去年的开源版本报告中,我们查看了开源库的使用和安全性的快照。 今年,我们超越了时间点快照来检查库开发的动态以及开发人员如何对库更改做出反应,包括错误发现。
除此之外 图书馆没有更新的借口, 到期了 到可能的兼容性故障 这大多是没有根据的。 面对这些借口 Veracode 证明了相反的情况 在他们的研究中,大约 69% 的案例研究, 表示漏洞已在补丁版本中修复 与功能变化无关。
报告显示,虽然开源库是几乎所有软件的基础,但它并不是一个坚实的基础,而是一个不断发展和变化的基础。 然而,开发实践并不总是适应这些库的动态特性,使组织暴露在外。
还 提到通知开发人员也会产生影响 关于漏洞的出现:s我已通知开发人员 图书馆里的一个问题,在 17% 的案例问题得到解决 一小时内,一周内 25%。
如果有关于库中的漏洞如何导致应用程序受到威胁的信息,在 50% 的情况下,补丁会在三周内发布,并且在不提供信息的情况下,漏洞的消除必须等待 7 个月或更长时间。
四分之一部分 的受访开发者表示,在选择库时 镶嵌, 主要关注功能 和代码许可证,然后才考虑安全性。
我们看看 2019 年和 2020 年最受欢迎的库,以及 2019 年和 2020 年存在已知漏洞的最受欢迎的库。 底线:您可以将开源库的使用添加到2020. 什么是热的,什么不是,什么是安全的,什么不是,变化很快。
需要注意的是,代码许可证验证的情况也好不到哪里去:54% 的受访者承认,在将库代码集成到他们的产品之前,他们并不总是验证许可证。 只有 27% 的受访者实行强制性许可证兼容性验证。
最后,如果您有兴趣了解更多 Veracode 进行的研究,可以查阅详情 在下面的链接中。
将库放在本地文件系统上而不是链接是很常见的,因为有时链接会更改并且功能会丢失。