79% der im Code eingebetteten Drittanbieter-Bibliotheken werden niemals aktualisiert.

Die Firma Veracode hat die Ergebnisse einer Untersuchung zu Sicherheitsproblemen veröffentlicht, die aus der Einbindung von Open-Source-Bibliotheken in Anwendungen resultieren (anstatt dynamisches Binden nutzen viele Unternehmen einfach die benötigten Bibliotheken, indem sie diese in ihre Projekte kopieren). Bei der Analyse von 86.000 Repositories und einer Umfrage unter rund 2.000 Entwicklern wurde festgestellt, dass 79 % der in den Code übertragenen Drittanbieter-Bibliotheken niemals aktualisiert werden.

Dabei wird der veraltete Bibliothekscode zur Ursache für Sicherheitsprobleme, die in 92 % der Fälle durch einfaches Aktualisieren des Bibliothekscodes vermieden werden können. Die Ausrede, dass Bibliotheksaktualisierungen wegen möglicher Inkompatibilitäten nicht durchgeführt werden, ist in den meisten Fällen unbegründet, da in 69 % der Fälle die Schwachstellen in Korrekturausgaben behoben wurden, die nicht mit Änderungen der Funktionalität verbunden sind.

Auch die Information der Entwickler über das Auftreten von Sicherheitslücken hat einen Einfluss: Wenn die Entwickler über das Problem in der Bibliothek benachrichtigt wurden, wurde das Problem in 17 % der Fälle innerhalb einer Stunde gelöst, und in 25 % der Fälle innerhalb einer Woche. Wenn Informationen darüber vorlagen, wie eine Schwachstelle in der Bibliothek zur Kompromittierung der Anwendung führen kann, wurde in 50 % der Fälle eine Behebung innerhalb von drei Wochen veröffentlicht, während ohne solche Informationen die Behebung der Schwachstelle bis zu 7 Monate oder länger dauerte. Ein Viertel der befragten Entwickler gab an, dass bei der Auswahl einer Bibliothek für die Integration zunächst die Funktionalität und die Lizenz des Codes berücksichtigt werden, während die Sicherheit danach kommt.

Bemerkenswert ist, dass die Situation bezüglich der Lizenzprüfung des Codes nicht besser ist – 54 % der Befragten gaben zu, dass sie die Lizenz der Bibliothek vor deren Integration in ihr Produkt nicht immer überprüfen. Eine verpflichtende Prüfung der Lizenzkompatibilität wird nur von 27 % der Befragten praktiziert.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster