Эксперты: 79% встроенных в код сторонних библиотек никогда не обновляются
Проблемы с безопасностью при встраивании открытых библиотек в приложения, вместо динамического подключения, выявили эксперты Veracode, 22 июня сообщила пресс-служба компании.
Вместо динамического связывания многие поставщики программного обеспечения просто копируют в состав своих проектов нужные библиотеки. Эксперты просканировали 86 тыс. репозиториев и опросили около двух тысяч разработчиков, после чего определили, что 79% перенесенных в код проектов сторонних библиотек никогда в будущем не обновляются.
Устаревший код в библиотеках, отмечают в Veracode, становится причиной проблем с безопасностью. До 92% подобных проблем можно устранить путем обновления кода библиотеки. При этом владельцы программного обеспечения пытаются необоснованно увязать обновление библиотек и возможное нарушение совместимости. На самом деле, говорится в сообщении Veracode, в 69% случаев уязвимости устранились после установки корректирующих выпусков, не связанных с изменением функциональности.
При оперативном информировании разработчиков о возникновениях уязвимостей о проблеме в библиотеке, в 17% случаев проблема решалась в течение одного часа, а в 25% случаях — одной недели.
При предоставлении информации о возможной компрометации приложения уязвимостью в библиотеке, в 50% случаев исправление предоставлялось в течение трех недель, без такой информации, устранение уязвимости затягивалось на семь и более месяцев.
25% из опрошенных разработчиков при выборе библиотеки для встраивания концентрируют внимание на функциональности и лицензии на код, а уже потом на безопасности. Проверку лицензий на код библиотеки перед ее интеграцией в свой продукт проводят только 54% опрошенных. Обязательная проверка лицензионной совместимости происходит только у 27% компаний.