Дослідники з Veracode опублікували звіт про безпеку бібліотек з відкритим кодом. Для цього вони проаналізували 86 000 репозиторіїв та 301 000 унікальних бібліотек.
Виявилось, що більшість розробників не користуються динамічними можливостями бібліотек, а просто копіюють код і залишають його. 79% сторонніх бібліотек, що вбудовані в код проєктів, ніколи не оновлюються.
92% вразливостей у цих бібліотеках можна усунути, якщо просто оновити код. Це навряд порушило б сумісність чи функціональність проєктів, адже 69% оновлень, що виправили б вразливості, були незначними коригувальними версіями.
При цьому вирішальною є інформація про вразливості у бібліотеці. Якщо розробники розуміли, як такі проблеми безпеки можуть вплинути на застосунок, то 50% з них випускали оновлення протягом 3 тижнів. Без цієї інформації оновлення могли готувати 7 місяців і більше.
Також на швидкість виправлень впливають попередження про вразливості: майже 17% бібліотек виправили протягом години після сканування і попередження, 25 % — протягом семи днів.
Ще немає коментарів