79% встроенных в код сторонних библиотек никогда не обновляются
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания Veracode опубликовала результаты исследования проблем с безопасностью, вызванных встраиванием открытых библиотек в приложения (вместо динамического связывания многие компании просто копируют в состав своих проектов нужные библиотеки). В результате сканирования 86 тысяч репозиториев и опроса около двух тысяч разработчиков определено, что 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются.
При этом устаревший код библиотек становится причиной проблем с безопасностью, которых в 92% случаев можно избежать простым обновлением кода библиотеки. Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны, так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.
Влияние также оказывает информирование разработчиков о появлении уязвимостей - в случае, если разработчики были уведомлены о проблеме в библиотеке, в 17% случаев проблема решалась в течение часа, а в 25% - одной недели. При наличии информации о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев исправление выпускалось в течение трёх недель, а без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев.
Четверть опрошенных разработчиков заявили, что при выборе библиотеки для встраивания основное внимание уделяется функциональности и лицензии на код, а уже потом учитывается безопасность.
Примечательно, что с проверкой лицензий на код ситуация не лучше - 54% опрошенных признались, что не всегда проверяют лицензию на код библиотеки перед её интеграцией в свой продукт. Обязательную проверку лицензионной совместимости практикуют только 27% опрошенных.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.veracode.com/blog/...)
- OpenNews: Анализ использования фрагментов уязвимых библиотек в исполняемом коде
- OpenNews: Основные проблемы с открытым кодом в коммерческих проектах вызваны использованием устаревших библиотек
- OpenNews: Анализ использования ассемблерных вставок в коде открытых проектов
- OpenNews: Инструментарий для выявления скрытых уязвимостей, возникающих из-за использования стороннего кода
- OpenNews: Обратная сторона систем распространения приложений в обход дистрибутивов
Похожие новости:
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [JavaScript, Программирование] Взлом JavaScript с помощью JavaScript (перевод)
- [Open source, DIY или Сделай сам, Сотовая связь] Базовая станция LTE своими руками: такое возможно?
- [Информационная безопасность] Обход 802.1х в LAN
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Open source, Антивирусная защита] Транспортный агент MS Exchange для защиты от вирусов и нежелательной почты
- [Карьера в IT-индустрии, IT-компании] Китайский филиал Canon пускает сотрудников в офисы только по улыбке
- [Ненормальное программирование, Python, Обработка изображений, Машинное обучение, Разработка под Windows] Управляем звуком ПК от активности пользователя с помощью Python
- [IT-компании] Китайский разработчик собрал данные с 1,1 млрд страниц Taobao
- Разработчики Glibc рассматривают вопрос прекращения передачи прав на код Фонду СПО
Теги для поиска: #_lib, #_security
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:57
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Компания Veracode опубликовала результаты исследования проблем с безопасностью, вызванных встраиванием открытых библиотек в приложения (вместо динамического связывания многие компании просто копируют в состав своих проектов нужные библиотеки). В результате сканирования 86 тысяч репозиториев и опроса около двух тысяч разработчиков определено, что 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются. При этом устаревший код библиотек становится причиной проблем с безопасностью, которых в 92% случаев можно избежать простым обновлением кода библиотеки. Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны, так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности. Влияние также оказывает информирование разработчиков о появлении уязвимостей - в случае, если разработчики были уведомлены о проблеме в библиотеке, в 17% случаев проблема решалась в течение часа, а в 25% - одной недели. При наличии информации о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев исправление выпускалось в течение трёх недель, а без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев. Четверть опрошенных разработчиков заявили, что при выборе библиотеки для встраивания основное внимание уделяется функциональности и лицензии на код, а уже потом учитывается безопасность. Примечательно, что с проверкой лицензий на код ситуация не лучше - 54% опрошенных признались, что не всегда проверяют лицензию на код библиотеки перед её интеграцией в свой продукт. Обязательную проверку лицензионной совместимости практикуют только 27% опрошенных. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 16:57
Часовой пояс: UTC + 5