Специалисты из компании Veracode считают, что бесплатные централизованные хранилища кода, предоставляющие готовые «строительные блоки» для разработчиков, это по сути настоящие рассадники уязвимостей.
Благодаря массовому использованию таких готовых решений, 70% настольных и мобильных приложений содержат как минимум одну уязвимость, связанную с использованием open source библиотеки.
К таким выводам эксперты Veracode пришли, проанализировав 351 тыс. внешних библиотек в 85 тыс. приложений. Они также отметили, что большинство JavaScript-приложений содержат сотни библиотек с открытым исходным кодом, а некоторые — более 1 тыс.
И JavaScript и PHP имеют несколько базовых библиотек, которые есть практически в каждом приложении. Данные библиотеки, как и другие программы, содержат уязвимости, но отличие уязвимых «строительных кирпичиков» в том, что благодаря повторному использованию кода всего одна проблема может послужить причиной компрометации сотен приложений.
При этом почти половина уязвимых библиотек (47%) попадают в код благодаря каскадным взаимозависимостям, т.е. разработчики могут использовать одну библиотеку, которая без их ведома извлекает код из совершенно другой библиотеки с открытым исходным кодом.
Больше всего проблем было обнаружено в библиотеках на языке Swift (в основном используется в устройствах Apple), .NET, Go и PHP, сообщает Veracode.
Эксперты также отметили, что самым распространенным типом проблем в библиотеках с открытым исходным кодом оказалось межсайтовое выполнение сценариев (XSS) — проблема содержится в 30% библиотек. За ним следует небезопасная десериализация (23,5%) и нарушение контроля доступа (20,3%).
Читайте также на АКБ:
Найден способ взломать сайты через библиотеку создания PDF-документов
