Според изследване на Veracode, The State of Software Security: Open Source Edition, 70% от приложенията имат недостатъци в сигурността, поради факта, че използват open-source библиотеки. Компанията, създаваща именно продукти за сигурност, е анализирала 351 000 библиотеки и 85 000 приложения във Veracode базата данни.

Крис Енг, завеждащ изследванията във Veracode, споменава, че софтуерите с отворен код притежават изненадващо разнообразие от недостатъци. Едно приложение може да се атакува не само през собствения код и включените библиотеки, защото самите те съдържат други библиотеки. В действителност, разработчиците ползват много повече код отколкото пишат сами и ако прилагат корекции по правилния, подходящ начин, то тогава са способни значително да намалят излагането на риск.

Но не всички програмни езици са еднакво засегнати, според изследването на Veracode. Установява се, че повечето библиотеки имат транзитивни зависимости в повече от 80% от приложенията на JavaScript, Ruby и PHP. С най-висок риск – повече от 50% шанс да съдържа уязвимост се оказва именно PHP.

Други интересни резултати от доклада са, че около 47% от несигурните библиотеки, попадат в кода като зависимости към други библиотеки. Повечето уязвимости се оправят само с ъпдейт на версията, а също така – повече от 61% от библиотеките с проблеми в сигурността в JavaScript имат уязвимости които не присъстват в Common Vulnerabilities and Exposures (CVE).

Тагове: , , , , , ,