ProHoster > وبلاگ > اخبار اینترنتی > 75 درصد از برنامه های تجاری شامل کد منبع باز قدیمی با آسیب پذیری هستند

75 درصد از برنامه های تجاری شامل کد منبع باز قدیمی با آسیب پذیری هستند

شرکت سینوپسیس تجزیه و تحلیل کرد 1253 پایگاه کد تجاری و به این نتیجه رسیدند که تقریباً تمام (99٪) برنامه های تجاری بازبینی شده شامل حداقل یک جزء منبع باز بوده و 70 درصد از کد موجود در مخازن بررسی شده منبع باز است. برای مقایسه، در یک مطالعه مشابه در سال 2015، سهم منبع باز 36 درصد بود.

با این حال، در بیشتر موارد، کد منبع باز شخص ثالث مورد استفاده به‌روزرسانی نمی‌شود و حاوی مشکلات امنیتی بالقوه است - 91 درصد از پایگاه‌های کد بررسی‌شده دارای مؤلفه‌های باز هستند که بیش از 5 سال است که به‌روزرسانی نشده‌اند یا به شکلی رها شده‌اند. حداقل دو سال است و توسط توسعه دهندگان نگهداری نمی شوند. در نتیجه، ۷۵ درصد از کدهای منبع باز شناسایی شده در مخازن حاوی آسیب‌پذیری‌های شناخته‌شده وصله‌نشده هستند که نیمی از آن‌ها دارای سطح بالایی از خطر هستند. در نمونه 75، سهم کد دارای آسیب پذیری 2018 درصد بود.

شایع ترین آسیب پذیری خطرناک بود
یک مشکل CVE-2018-16487 (اجرای کد از راه دور) در کتابخانه لوداش برای Node.js که نسخه های آسیب پذیر آن بیش از 500 بار با آن مواجه شده اند. قدیمی ترین آسیب پذیری اصلاح نشده مشکلی در دیمون lpd بود (CVE-1999-0061) در سال 1999 بازنگری شد.

علاوه بر امنیت در مبانی کد پروژه های تجاری، نگرش سهل انگارانه نسبت به رعایت شرایط مجوزهای رایگان نیز وجود دارد.
در 73 درصد از پایگاه‌های کد، مشکلاتی با قانونی بودن استفاده از منبع باز پیدا شد، به عنوان مثال، مجوزهای ناسازگار (معمولاً کد GPL در محصولات تجاری بدون باز کردن محصول مشتق گنجانده می‌شود) یا استفاده از کد بدون تعیین مجوز. 93 درصد از تمام مشکلات مجوز در برنامه های تحت وب و تلفن همراه رخ می دهد. در بازی ها، سیستم های واقعیت مجازی، برنامه های چند رسانه ای و سرگرمی در 59 درصد موارد تخلف مشاهده شد.

در مجموع، این مطالعه 124 مؤلفه باز معمولی را شناسایی کرد که معمولاً در همه پایه‌های کد استفاده می‌شوند. محبوب ترین آنها عبارتند از: jQuery (55%)، Bootstrap (40%)، Font Awesome (31%)، Lodash (30%) و jQuery UI (29%). از نظر زبان های برنامه نویسی، محبوب ترین ها عبارتند از جاوا اسکریپت (استفاده شده در 74٪ پروژه ها)، C++ (57٪)، Shell (54٪)، C (50٪)، پایتون (46٪)، جاوا (40٪). TypeScript (36٪)، C# (36٪)؛ پرل (30%) و روبی (25%). سهم کل زبان های برنامه نویسی عبارتند از:
JavaScript (51%)، C++ (10%)، جاوا (7%)، Python (7%)، Ruby (5%)، Go (4%)، C (4%)، PHP (4%)، TypeScript ( 4 درصد، سی شارپ (3 درصد)، پرل (2 درصد) و شل (1 درصد).

منبع: opennet.ru

اضافه کردن نظر