Сторонні бібліотеки є найбільшою проблемою безпеки програмного забезпечення — дослідження

Згідно з звітом Veracode про поточний стан безпеки програмного забезпечення, за останні п’ять років відсоток програм, які мають серйозні недоліки, зріс на 181%. Це свідчить про низький рівень безпеки додатків, пише DevClass.

Час, витрачений на усунення недоліків у програмах, протягом останніх п’яти років зріс на 47%. Найбільшою проблемою безпеки програмного забезпечення є бібліотеки або компоненти від сторонніх розробників. 70% вразливостей та недоліків знайдено саме там.

Більшість програм (80,3%) мають незначні недоліки, 47,7% мають більш серйозні проблеми, такі як несправний контроль доступу, криптографічні збої, вразливі місця, неправильна конфігурація безпеки або вразливі/застарілі компоненти.

Програми та системи з відкритим кодом мають «досить низьку» кількість проблем, однак саме в них зустрічаються найбільш критичні недоліки. Ще одна проблема відкритого коду полягає в тому, що проблеми в цих проектах потребують більше часу для вирішення, ніж пропрієтарне програмне забезпечення.

Існує кілька причин, чому сторонній код більш проблематичний з точки зору безпеки. Сторонні бібліотеки можуть мати багато залежностей, які важко оновити через критичні зміни в новіших версіях або через те, що цей проект з відкритим кодом став менш активним і не підтримується належним чином. До того ж рефакторинг програми для видалення однієї бібліотеки та заміни її на більш безпечну теж може бути складним.

Дані для звіту були зібрані компанією Veracode в результаті сканування, проведеного через її платформу, яка охоплює майже півмільйона програм. Більшість даних надходить із статичного аналізу, доповненого динамічним тестуванням безпеки додатків (DAST) і аналізом складу програмного забезпечення (виявлення використовуваних компонентів з відкритим кодом).