Programsäkerhetstestleverantören Veracode fann att efter en första skanning innehåller sju av tio applikationer en säkerhetssårbarhet i ett bibliotek med öppen källkod. Bolagets nya forskning visar hur användningen av öppen källkod kan introducera kryphål, öka risken och öka säkerhetsskulden. För att sammanställa sin nya State of Software Security-rapport (SOSS): Open Source Edition, analyserade Veracode komponentbibliotek med öppen källkod i sin databas med 85,000 351,000 applikationer, vilket representerar XNUMX XNUMX unika externa bibliotek. Nästan alla moderna applikationer och även de som säljs kommersiellt är byggda med vissa komponenter med öppen källkod. Ett enda fel i ett bibliotek kommer dock att överlappa alla applikationer som använder den här koden. I ett pressmeddelande förklarade Veracodes forskningschef Chris Eng hur användningen av bibliotek med öppen källkod kan utöka en applikations attackyta, och sa: "Mjukvara med öppen källkod har en överraskande mängd brister. En applikations attackyta är inte begränsad till sin egen kod och kod från explicit inkluderade bibliotek, eftersom dessa bibliotek har sina egna beroenden. I verkligheten introducerar utvecklare mycket mer kod, men genom att känna till och tillämpa korrigeringar på rätt sätt kan de minska riskexponeringen. "
Open source-bibliotek
Enligt Veracode finns vanliga bibliotek i mer än 75 % av applikationerna för varje programmeringsspråk. Företagets forskning avslöjade också att felaktiga bibliotek hittas indirekt i koden, eftersom 47 % av dem som finns i appar är övergående och inte direkt riktade till utvecklare, utan uppströmsbibliotek. Lyckligtvis kan dock de brister som biblioteket introducerar i de flesta applikationer åtgärdas med bara en mindre versionsuppdatering, eftersom större biblioteksuppdateringar i allmänhet inte krävs. Utvecklare kan dock inte lita på Common Vulnerabilities and Exposures (CVE) för att förstå biblioteksbrister eftersom inte alla bibliotek har dem. Till exempel har mer än 61 % av felaktiga JavaScript-bibliotek inte motsvarande CVE:er. Rapporten fann också att vissa ekosystem för programmeringsspråk tenderar att attrahera mycket mer transitiva beroenden än andra. I mer än 80 % av JavaScript-, Ruby- och PHP-applikationerna är de flesta bibliotek transitiva beroenden. Val av programmeringsspråk spelar också en roll både när det gäller storleken på ekosystemet och förekomsten av misslyckanden i dessa ekosystem. Till exempel, att inkludera ett givet PHP-bibliotek har mer än 50 % chans att skapa ett säkerhetshål. Bland OWASP:s topp tio misslyckanden är svagheter i åtkomstkontroll de vanligaste, och står för mer än 25 % av alla fel. Cross-Site Scripting (XSS) är den vanligaste kategorin av sårbarhet i bibliotek med öppen källkod (30 %), följt av osäker deserialisering (23.5 %) och trasig åtkomstkontroll (20), 3 %).