Bug in sicurezza del 70% delle applicazioni Open Source

Avatar utente

Topic Author
ivan
Connesso: No
User theme: Light
Messaggi: 34
Iscritto il: ven apr 17, 2020 10:41 am
Località: Sondrio

Bug in sicurezza del 70% delle applicazioni Open Source

Messaggio da ivan »

Immagine

   




Una nuova ricerca di "Veracode" ha riscontrato problemi in sette applicazioni su dieci bug in sicurezza nelle librerie open source durante la scansione iniziale,evidenziando come open source potrebbe introdurre difetti e aumentare i costi relativi alla sicurezza.

Lo studio ha analizzato le librerie open source componenti tramite il database della piattaforma veracode di 85.000 applicazioni e 351.000 librerie esterne.
Quasi tutte le applicazioni moderne,comprese quelle commerciali sono realizzate con alcuni componenti open source.

Ciò significa che un singolo difetto a una libreria si collegherà a tutte le applicazioni che usano quel codice.
Secondo Chris Eng,capo ricercatore di Veracode,il software opensource presenta una varietà sorprendente di difetti.
La superficie di attacco di un applicazione non si limita al proprio codice e a quello delle librerie esplicitamente incluse,poichè tali librerie hanno le proprie dipendenze.
In realtà gli sviluppatori stanno intrioducendo molto piu codice,ma se sono consapevoli che applicando correzioni in modo appropriato si potrà ridurre l’esposizione a eventuali rischi.
Tra gli altri risultati le librerie piu comunemente incluse sono presenti in oltre 75% delle applicazioni.
La maggior’ parte delle librerie imperfette finisce nel codice direttamente,il 47% di quelle librerie imperfette nelle applicazioni sono transitive- in altre parole non inserite direttamente dagli sviluppatori stessi ,ma vengono raccolte dalle librerie a monte.
I difetti introdotti dalle librerie nella maggior’ parte dei casi possono essere risolti solo con un aggiornamento di versione minore,di solito non sono richiesti grossi aggiornamenti delle librerie interessate.
Non tutte le le librerie hanno vulnerabilità COMUNI ed esposizione a (CVE)- questo significa che gli sviluppatori non possono fare affidamento solo sui CVE per comprendere i difetti di tali librerie.
Ad esempio oltre 61% delle librerie difettose in javascript contiene vulnerabilità senza CVE corrispondenti.
Inoltre alcuni ecosistemi linguistici tendono ad attirare molte piu dipendenze transitive rispetto ad altri.
In oltre 80% delle applicazioni javascript ,Ruby e PHP ,ad esempio la maggior’parte delle dipendenze sono transitive.

È possibile scoprire di piu consultando il Report sul sito di Veracode.