El informe de seguridad de código abierto encuentra fallas inducidas por la biblioteca en el 70% de las aplicaciones


Los problemas están en todas partes, pero la mayoría de las soluciones son fáciles de encontrar e implementar, según un informe de Veracode que analizó.

El estado de la seguridad del program (SOSS): edición de código abierto analizó las bibliotecas de componentes de código abierto en la foundation de datos de la plataforma Veracode de 85,000 aplicaciones que incluye 351,000 bibliotecas externas únicas.

La idea period definir el riesgo de que un solo defecto en una biblioteca pueda representar a todas las aplicaciones que aprovechan ese código. Chris Eng, director de investigación de Veracode, dijo que el software de código abierto tiene una sorprendente variedad de fallas.

«La superficie de ataque de una aplicación no se limita a su propio código y al código de las bibliotecas incluidas explícitamente, porque esas bibliotecas tienen sus propias dependencias», dijo.

VER: Ataques de inyección SQL: una hoja de trucos para profesionales de negocios (TechRepublic Quality)

El estudio encontró que el 70% de las aplicaciones tienen una falla de seguridad en una biblioteca de código abierto en un escaneo inicial. Los otros hallazgos generales fueron:

  • Las bibliotecas más comúnmente incluidas están presentes en más del 75% de las aplicaciones para cada idioma.
  • El 47% de esas bibliotecas defectuosas en aplicaciones son transitivas.
  • Más del 61% de las bibliotecas defectuosas en JavaScript contienen vulnerabilidades sin las correspondientes vulnerabilidades y exposiciones comunes (CVE).
  • El uso de cualquier biblioteca PHP dada tiene una probabilidad exceptional al 50% de traer consigo una falla de seguridad.
  • La reparación de la mayoría de los defectos introducidos por la biblioteca se puede hacer con una actualización de versión menor.

Aquí hay un vistazo a los tipos de dependencia, fallas por idioma y una evaluación de las soluciones disponibles.

Identificar tipos de dependencia

Para obtener una imagen más completa de los riesgos de seguridad de las aplicaciones, los analistas de Veracode analizaron las dependencias en las bibliotecas. Muchas dependencias transitivas pueden ser una superficie de ataque oculta y una carga de trabajo de mantenimiento inesperada.

El informe estudió dónde las aplicaciones comúnmente recogen sus dependencias, por idioma. Los analistas analizaron cada aplicación para determinar cómo se incluyó la biblioteca para ayudar a mostrar qué idiomas pueden tener consecuencias no deseadas para los mantenedores.

Los investigadores descubrieron que JavaScript, Ruby, PHP y Java obtienen la mayor parte de su superficie de ataque de inclusiones transitivas y .Web, Swift y Go tienen dependencias más directas.

Los autores señalan que: «Una aplicación que recoge la mayoría de sus dependencias a través de un segundo, tercer o incluso mayor grado de separación de la instrucción explícita de un desarrollador aumenta la dificultad de administrar esas dependencias».

Prevalencia de los principales defectos de OWASP por idioma

Los investigadores también buscaron fallas del Abrir la lista de los 10 principales proyectos de seguridad de aplicaciones internet. Estos son:

  • Inyección
  • Autenticación rota
  • Exposición wise de datos
  • Entidades externas XML>
  • Manage de acceso roto
  • Mala configuración de seguridad
  • Cross-website scripting XSS
  • Asegure la deserialización
  • Usar componentes con vulnerabilidades conocidas
  • Insuficiente registro y monitoreo

Las vulnerabilidades más comunes en las bibliotecas de código abierto son:

  • Secuencias de comandos entre sitios encontrados en el 30% de las bibliotecas
  • Deserialización insegura encontrada en 23.5%
  • Management de acceso roto encontrado en 20.3%

Los autores también descubrieron que PHP tenía la mayoría de los problemas con más del 40 por ciento de las bibliotecas que tenían problemas de secuencias de comandos entre sitios, así como más problemas de manage de acceso y autenticación interrumpidos que en cualquier otro idioma.

La mayoría de los defectos tienen soluciones fáciles

Aunque casi todas las aplicaciones que analizó Veracode tenían algún defecto introducido por una biblioteca, notó que el remedio era fácil.

Los autores analizaron las fallas para ver cuántas podrían solucionarse con una actualización y ese fue el caso del 74%. Además, la mayoría de estas actualizaciones fueron correcciones menores o parches al 71%.

La mayoría de las fallas importantes de la biblioteca en las 10 categorías principales de OWASP tienen soluciones disponibles. De hecho, el 91% de los defectos con vulnerabilidades de prueba pública de concepto tienen una solución disponible actualmente.

Los autores concluyeron que «la mayoría de estas soluciones son de naturaleza relativamente menor, lo que sugiere que este problema es uno de descubrimiento y seguimiento, no una gran refactorización del código».

Ver también

«data-credit =» Imagen: Scanrail / Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Programación del código fuente resumen de antecedentes

Imagen: Scanrail / Getty Pictures / iStockphoto



Enlace a la noticia initial