7 из 10 приложений содержат уязвимые open source библиотеки

Опубликовано at 19:22
133 0

Специалисты из компании Veracode считают, что бесплатные централизованные хранилища кода, предоставляющие готовые «строительные блоки» для разработчиков, это по сути настоящие рассадники уязвимостей.

Благодаря массовому использованию таких готовых решений, 70% настольных и мобильных приложений содержат как минимум одну уязвимость, связанную с использованием open source библиотеки.

К таким выводам эксперты Veracode пришли, проанализировав 351 тыс. внешних библиотек в 85 тыс. приложений. Они также отметили, что большинство JavaScript-приложений содержат сотни библиотек с открытым исходным кодом, а некоторые — более 1 тыс.

И JavaScript и PHP имеют несколько базовых библиотек, которые есть практически в каждом приложении. Данные библиотеки, как и другие программы, содержат уязвимости, но отличие уязвимых «строительных кирпичиков» в том, что благодаря повторному использованию кода всего одна проблема может послужить причиной компрометации сотен приложений.

При этом почти половина уязвимых библиотек (47%) попадают в код благодаря каскадным взаимозависимостям, т.е. разработчики могут использовать одну библиотеку, которая без их ведома извлекает код из совершенно другой библиотеки с открытым исходным кодом.

Больше всего проблем было обнаружено в библиотеках на языке Swift (в основном используется в устройствах Apple), .NET, Go и PHP, сообщает Veracode.

Эксперты также отметили, что самым распространенным типом проблем в библиотеках с открытым исходным кодом оказалось межсайтовое выполнение сценариев (XSS) — проблема содержится в 30% библиотек. За ним следует небезопасная десериализация (23,5%) и нарушение контроля доступа (20,3%).

Читайте также на АКБ:

Найден способ взломать сайты через библиотеку создания PDF-документов

Подписываемся, следим @CyberAgency

Related Post