Sytuacja kobiet w IT w 2024 roku
28.05.20202 min
Bulldogjob

Bulldogjob

Badanie pokazuje, że 70% aplikacji jest narażonych na ataki z powodu bibliotek open source

Badanie o bezpieczeństwie oprogramowania ujawnia, że 70% aplikacji ma problem z zabezpieczeniami, ponieważ korzysta z dziurawych bibliotek open source.

Badanie pokazuje, że 70% aplikacji jest narażonych na ataki z powodu bibliotek open source

Veracode, amerykańska firma zajmująca się bezpieczeństwem aplikacji, przeprowadziła badanie, które wskazuje na to, że biblioteki typu open source mogą stać za problemami w zabezpieczeniach aż 70% badanych aplikacji. Jeżeli chodzi o liczby, to w ramach swojego raportu State of Software Security: Open Source Edition Veracode przeanalizowała 351 000 bibliotek ze swojej bazy danych, która zawiera 85 000 aplikacji. 

Oprócz powyższego, z samego raportu można się również dowiedzieć o poziomie rozpowszechnienia bibliotek typu open source w aplikacjach, które luki zabezpieczeń są najpowszechniejsze w takich bibliotekach oraz jakie są najlepsze praktyki, które pomogą je zwalczyć.

Więcej szczegółów poniżej ?

Główne wnioski

Chris Eng, Chief Research Officer w Veracode, stwierdził, że oprogramowanie typu open source jest zaskakująco wadliwe. Co więcej, według niego, elementy aplikacji, które narażają ją na potencjalny atak, nie ograniczają się jedynie do kodu bibliotek, ponieważ te mają swoje własne zależności. “W rzeczywistości to programiści wprowadzają o wiele więcej kodu, ale jeżeli byliby przy tym uważni i właściwie implementowali fixy, to ryzyko ataku byłoby mniejsze”, wyjaśnia Eng. 

Badanie sugeruje, że wady można naprawić przy pomocy aktualizacji minor — major update w większości przypadków nie jest tutaj potrzebny. W raporcie możemy jeszcze znaleźć informacje o tym, że około 47% wadliwych bibliotek trafia do kodu jako zależności innych bibliotek. 

Biblioteki a języki programowania

Jeżeli chodzi o przełożenie na konkretne języki programowania, to ponad 61% wadliwych bibliotek w JavaScript zawiera luki, którym nie przypisano identyfikatora w Common Vulnerabilities and Exposures (CVE). Co więcej, dane mogą się różnić w zależności od języka, który badamy. Niestety, według raportu, to biblioteki PHP stanowią największe zagrożenie — występuje ponad 50% szans na to, że biblioteka stworzona w tym języku programowania będzie miała wadę, która zagrozi kiedyś aplikacji. 

Veracode odkryło również, że większość bibliotek to zależności przechodnie (ang. transitive dependencies) w ponad 80% aplikacji JavaScript, Ruby oraz PHP. 

Podsumowanie

Społeczność open source z pewnością nie będzie zachwycona wynikami raportu. Można jednak teraz wyciągnąć odpowiednie wnioski. Dodatkowo też można powiedzieć, żeby robić w miarę często update'y, bo jednak wg. raportu większość bibliotek ma poprawki na dziury bezpieczeństwa, tylko że poprzez skomplikowane zależności potrzeba czasu na propagację tych fixów. 

<p>Loading...</p>