Uncategorized

Veracode: 79% разработчиков не обновляют сторонние библиотеки в своем коде

Где ваше предприятие находится на кривой внедрения ИИ? Примите участие в нашем опросе AI, чтобы узнать.


В исследовании Veracode State of Software Security (SoSS) v11: Open Source Edition было обнаружено, что в 79% случаев сторонние библиотеки никогда не обновляются разработчиками после включения в базу кода. Эта версия SoSS ориентирована на приложения и компоненты с открытым исходным кодом и основана на анализе 13 миллионов сканирований более 86 000 репозиториев, содержащих более 301 000 уникальных библиотек. В анализ также включены результаты опроса об использовании стороннего программного обеспечения от почти 2000 разработчиков.

Большинство разработчиков устанавливают и забывают библиотеки с открытым исходным кодом в своем коде

Выше: Veracode SoSS v11: Open Source Edition обнаружила, что 79% разработчиков никогда не обновляют сторонние библиотеки после включения в базу кода. Большинство проблем можно устранить как мелкие исправления.

Кредит изображения: Veracode

Библиотеки не обновляются, несмотря на то, что более двух третей исправлений считаются незначительными и не нарушают общую функциональность приложения. Кроме того, 92% недостатков библиотеки с открытым исходным кодом могут быть исправлены с помощью обновления, а 69% обновлений представляют собой только незначительное изменение версии или меньшее. Библиотеки с открытым исходным кодом постоянно развиваются, поэтому то, что кажется безопасным сегодня, может перестать быть безопасным завтра, потенциально создавая значительный риск безопасности для поставщиков программного обеспечения и пользователей.

Хорошая новость заключается в том, что разработчики обычно быстро реагируют, узнав об уязвимых библиотеках в кодовой базе. По словам Веракода, почти 17 процентов уязвимых библиотек устраняются в течение часа после того, как разработчик обнаруживает библиотеку с уязвимостью, а 25 процентов – в течение семи дней.

Сосредоточившись на библиотеках с открытым исходным кодом в кодовых базах сегодня, на том, как организации управляют безопасностью этих библиотек, колебаниях в популярности и уязвимости библиотек из года в год, а также на передовых методах безопасного использования открытого исходного кода, исследование также показывает, что только 52% разработчиков у опрошенных есть формальный процесс выбора сторонних библиотек, в то время как более четверти либо не уверены – или даже не знают, – существует ли формальный процесс. Кроме того, разработчики поставили «Безопасность» только на третье место по важности при выборе библиотеки, в то время как «Функциональность» и «Лицензирование» заняли первое и второе места соответственно.

Поскольку почти все современные приложения создаются с использованием стороннего программного обеспечения с открытым исходным кодом, единственный недостаток или корректировка в одной библиотеке могут каскадно распространяться на все приложения, использующие этот код, а это означает, что постоянные изменения в популярности библиотеки, уязвимости и обновлениях оказывают прямое влияние на программное обеспечение. безопасность.

Прочтите полную версию Veracode SoSS v11: Open Source Edition.

VentureBeat

Миссия VentureBeat – стать цифровой городской площадью, где лица, принимающие технические решения, могут получить знания о преобразующих технологиях и транзакциях.

На нашем сайте представлена ​​важная информация о технологиях и стратегиях обработки данных, которая поможет вам руководить своей организацией. Мы приглашаем вас стать участником нашего сообщества, чтобы получить доступ:

  • актуальная информация по интересующим вас темам
  • наши информационные бюллетени
  • закрытый контент для лидеров мнений и льготный доступ к нашим ценным мероприятиям, таким как Преобразование 2021: Учить больше
  • сетевые функции и многое другое

Стать членом

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button