Заплахи

70% от приложенията - с уязвимости от библиотеки с отворен код

Александър Главчев

Голяма част от мобилните и настолните приложения в цял свят идват с поне една уязвимост, "наследена" от библиотеки с отворен код. Това заключват от компанията Veracode в свой нов доклад.

Много софтуерни продукти ползват повече от една библиотека и паралелно множество приложения ползват едни и същи библиотеки. Затова броят на уязвимостите варира. Според Veracode 85 хил. анализирани приложения ползват 351 хил. уникални библиотеки - както отворени, така и частни.

Те съдържат множество необходими функции, които би било скъпо и безсмислено да се създават от нулата, имайки предвид тяхната обща достъпност. Количеството на тези библиотеки, включени във всяко приложение, в голяма степен зависи от програмния език, на който то е написано.

Външните библиотеки се срещата в повечето софтуери, написани на JavaScript. Според Veracode обществото от разработчици, ползващо този език, проявява склонност да опакова в библиотеки дори най-незначителни набори от функции, което увеличава значително техния брой. В много приложения броят на използваните библиотеки може да достига хиляди.

Разработчиците, пишещи на Go и Swift, пък обикновено включват в своите разработки максимум няколко десетки такива.

В някои езици, като JavaScript, PHP и Python, отделните библиотеки са на практика задължителни. При това всяка библиотека може да съществува в множество версии, използвани паралелно.

Според анализаторите от следните езици Swift, Go, Ruby, Java, .NET, JavaScript, Python и PHP най-уязвим е последният. 40% от използваните в него библиотеки имат XSS уязвимости. Разпространени са и грешки и в тези, отговарящи за контрола на достъпа. Най-популярната уязвимост за всички езици пък е т.нар. междусайтов скриптинг.

PHP е на първа позиция и в друга антикласация - при количеството уязвими библиотеки, за които са създадени експлойти (27,1%). Тук JavaScript е на последно място от изброените по-горе езици - за 6,5 на сто от уязвимите библиотеки са засечени експлойти.

В крайна сметка, според Veracode, 70,5% от различните приложения в световен мащаб ползват библиотеки с отворен код и съдържат поне една наследена от тях уязвимост.

Отбелязва се още, че за поправка на такива уязвимости често са необходими незначителни промени. Освен това разработчиците постоянно се занимават с тази проблематика и в 73,8% от случаите са налице ъпдейти за уязвимите библиотеки. Ако се вземат предвид сериозните и критични слабости пък тази цифра превишава 90 на сто.




© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X