安全問題也是使用第三方庫造成的

幾天前 代碼 （應用安全公司） 廣為人知 通過博客文章， 開源庫併入導致的安全問題研究 在應用程序中。

通過掃描 86 個存儲庫和對近 79 名開發人員的調查，確定 XNUMX% 轉移到代碼的第三方庫項目隨後從未更新。

代碼 指出 在他的書房或者主要問題 與應用程序中的安全問題相關聯 使用開源庫而不是動態鏈接它們，很多公司 他們只是包括 項目中必要的庫，而不考慮可能的更新或對這些庫中稍後發現的錯誤的解決方案。

同時 注意過時的庫代碼會導致安全問題 並且在這項研究中，它表明只需更新庫代碼就可以避免大約 92% 的情況。

今天，我們發布了年度軟件安全狀況報告的開源版本。 該報告專注於開源庫的安全性，包括對來自 13 多個存儲庫的 86.000 萬次掃描的分析，其中包含超過 301.000 個獨特的庫。

在去年的開源版本報告中，我們查看了開源庫的使用和安全性的快照。 今年，我們超越了時間點快照來檢查庫開發的動態以及開發人員如何對庫更改做出反應，包括錯誤發現。

除此之外 圖書館沒有更新的藉口， 到期了 到可能的兼容性故障 這大多是沒有根據的。 面對這些藉口 Veracode 證明了相反的情況 在他們的研究中，大約 69% 的案例研究， 表示漏洞已在補丁版本中修復 與功能變化無關。

 報告顯示，雖然開源庫是幾乎所有軟件的基礎，但它並不是一個堅實的基礎，而是一個不斷發展和變化的基礎。 然而，開發實踐並不總是適應這些庫的動態特性，使組織暴露在外。 

坦比恩 提到通知開發人員也會產生影響 關於漏洞的出現：s我已通知開發人員 圖書館裡的一個問題，在 17% 的案例問題得到解決 一小時內，一周內 25%。

如果有關於庫中的漏洞如何導致應用程序受到威脅的信息，在 50% 的情況下，補丁會在三週內發布，如果不提供信息，則漏洞的消除必須等待 7 個月或更長時間。

四分之一部分 的受訪開發者表示，在選擇庫時 鑲嵌， 主要關注功能 和代碼許可證，然後才考慮安全性。

我們看看 2019 年和 2020 年最受歡迎的庫，以及 2019 年和 2020 年存在已知漏洞的最受歡迎的庫。 底線：您可以將開源庫的使用添加到在2020. 什麼是熱的，什麼不是，什麼是安全的，什麼不是，變化很快。

需要注意的是，代碼許可證驗證的情況也好不到哪裡去：54% 的受訪者承認，在將庫代碼集成到他們的產品之前，他們並不總是驗證許可證。 只有 27% 的受訪者實行強制性許可證兼容性驗證。

最後，如果有興趣了解更多Veracode進行的研究，可以查閱詳情 在下面的鏈接中。