Mobilní i desktopové aplikace mají v 70 % případů bezpečnostní chyby v open-source knihovnách

téměř všechny současné aplikace používají ke svému běhu nějaké open-source knihovny právě proto, že nemusejí danou funkcionalitu vyvíjet sami, ale důsledkem je ona přítomnost chyb
To je ale špatná implikace. Chyby by tam byly, i kdyby ty knihovny nebyly open source. A kdyby se nepoužívaly knihovny, ale vývojáři si daný kód napsali sami, bude tam ještě víc chyb, než když se použijí ty knihovny. Protože na těch knihovnách je typicky odpracováno víc, než kolik by tomu věnoval tým, kdyby si to psal sám.

Na to, že knihovny nejsou bez chyb, je potřeba upozorňovat. Stejně tak na to, že je potřeba knihovny také správně používat. Ale to výše uvedené vyjádření je prostě nesmysl.

hlavně díky open source se ty chyby hledají daleko lépe než v cloused source. Tyhle čísla není možné porovnávat.

Díky open source se ty chyby daleko lépe opravují a je snazší pochopit jejich příčinu (a třeba se jim vyhnout). Na hledání těch chyb prakticky nemá vliv to, zda je knihovna open source nebo uzavřená – pro hledání bezpečnostních chyb nejsou zdrojové kódy potřeba.

Možná nejsou potřeba, ale můžou pomoct. Když vidím dovnitř do zdrojového kódu, snáze chybu odhalím. Nebo si všimnu nestandardního chování a tak se podívám, co to ve skutečnosti dělá.

Tuto špatnou implikaci ve zprávě nevidím. Řekl bych, že ji tam přidal autor zprávičky. Možná to je jen názor autora zprávičky, ale jak je jeho zvykem, neodděluje své názory od zdrojů.

Nikdo snad ale netvrdí, že v closed-source knihovnách chyby nejsou.

Veracode se rozhodl prozkoumat ty open source knihovny právě proto, že jsou zdrojáky k dispozici k analýze. Vydal zprávu o stavu, nabízí nástroj k řešení. Podle mě docela dobrá věc. Pro closed-source to k dispozici není, neřešil bych, zda je nebezpečnější používat OS knohovny nebo ne, ale jak to udělat, aby to co nejbezpečnější bylo.

Ve zprávičce (v původní zprávě jsem to nenašel) je napsáno, že důsledkem používání open source knihoven je přítomnost chyb v aplikacích. Ve skutečnosti je to ale přesně opačně – díky tomu, že se používají knihovny, je těch chyb v aplikacích méně.

Ja som tú správu čítal v angličtine , ale tak, že tam bolo pridané dve slovâ

Mobilní i desktopové aplikace mají v 70 % případů bezpečnostní chyby v STARYCH VERZIÂCH open-source knihoven.

Já jsem se – vzhledem k tomu, kdo je autorem zprávičky – záměrně vyjadřoval jenom k přesné citaci ze zprávičky a ne k tomu, co je v původní zprávě (kde jsem takové tvrzení nenašel, ale nečetl jsem to celé).

Až takhle kategoricky bych to netvrdil, ale při dostupnosti zdrojáku se to snáz testuje a chyby se snáz hledají a opravují, a v neposlední řadě se do toho může pustit víc lidí. IMO klíčové je to slovo MŮŽE.
Tedy ne že v closed source chyb musí být automaticky víc, ale 1) je sice těžší je najít, a hlavně 2) když tam jsou, je daleko větší opich je opravit :-)

V té zprávě je spousta zajímavých věcí. Třeba že:
- poměr chyb v knihovnách se liší podle použitého jazyka
- 90 % kritických chyb již má záplaty
- 1. nejpoužívanější JS knihovna má jen 36 řádků, a 4. nejpoužívanější JS knihovna má jen 4 řádky

atd.

26. 5. 2020, 12:44 editováno autorem komentáře

Vetsina JS knihoven co se pouziva ma jeden radek.

Já tedy zprávu chápu trochu jinak. Podle mě konstatuje prostý fakt, že dnes se cílový produkt skládá ze závislosti někdy až absurdně vysokého počtu knihoven, přičemž nikdo nebere za své, aby sledoval a řešil jejich bezpečnost (i přesto, že oprava představuje obvykle jen minor update).

Tato situace mi připadá děsně absurdní. Představte si, že by mi u auta upadlo kolo jen díky tomu, že šrouby výrobce koupil kdesi na konci světa a neověřil a nestaral se o jejich kvalitu. U hmotných výrobků už (dávno) víme, že za celek nese odpovědnost prodejce (= přibližně se kryje s posledním zpracovatelem, výrobcem). Dokonce ani zadarmo mi kamarád nemůže "opravit" brzdy, protože kdybych se zabil, půjde sedět. U software děláme, jako kdyby tato setletá zkušenost neexistovala.

Přijde mi rozhodně v pořádku upozorňovat, že software se mezi sebou neliší jen otevřeností / uzavřeností, licencí nebo kvalitou, ale právě i tím, jestli někdo nese (či by měl nést) odpovědnost. Koncový uživatel programu (třeba na mobilním telefonu) těžko kvalifikovaně posoudí rizika.

Situacia nieje az taka absurdna ako si ju opisal. Pouzil si nie najlepsi priklad.
Auto nieje vec, ktoru mozes proovnavat s hocijakym SW (nejakou web strankou alebo s SW kalkulackou, pri ktorych zlyhani sa nic uedeje). Porovnavaj porovnatelne.
Ak si pouzil auto, tak porovnaj poziadavky na kvalitu materialov s poziadavkami na kvalitu HW a SW. Tie poziadavky na kvalitu SW v automotive budu uplne niekde inde. Ako brzdy, tak aj SW v riadiacej jednotke alebo v nejakom jazdnom asistentovi ti nemoze kamarat opravit len tak a keby si si za zabil, tak by isiel sediet.
Najdi si poziadavky na kvalitu SW napriklad v lietadlach alebo inych podobne rizikovych odvetviach. Mas na to normy a aj nejake to ISO sa tomu venuje.

To je naprosto v pořádku, je jasné že se musí hledět na jakost a na odpovědnost vždy podle závažnosti užití a situace. Šroub na uchycení obrazu na stěnu také nebudu chtít zkoumat tak, jako šroub který drží brzdy v autě.

Chtěl jsem vyjádřit, že mi přijde naprosto korektní, když se o tomto tématu píše. Přispívá k všeobecnému obzoru všech, co software používají. Absurdní na tom podle mě je, že se na to v mnoha oborech prdí. Nevím, jestli jste zaregistroval například, jak v praxi dopadla bezpečnost v českých nemocnicích? Je to méně důležitý obor než automotive? Jediný rozdíl je, že výrobce automobilů sám nese přímou odpovědnost a v nejlepším případě přivede svoji značku na buben, v nejhorším si půjdou lidé z vedení i posedět. U nemocnic se nestalo nic, nikdo odpovědnost necítí, nikdo ji nevymáhá a vesele se flikuje dál.

Nevím, jestli jste zaregistroval například, jak v praxi dopadla bezpečnost v českých nemocnicích? Je to méně důležitý obor než automotive? Jediný rozdíl je, že výrobce automobilů sám nese přímou odpovědnost a v nejlepším případě přivede svoji značku na buben, v nejhorším si půjdou lidé z vedení i posedět. U nemocnic se nestalo nic, nikdo odpovědnost necítí, nikdo ji nevymáhá a vesele se flikuje dál.
Ale kdepak, to vůbec není o nějaké přímé odpovědnosti. Správce v nemocnici může být odpovědný jak chce, ale když nedostane peníze na nákupu potřebného vybavení a služeb, neudělá skoro nic.

Takže na vaši otázku, zda jsou nemocnice méně důležitý obor, než automotive, je snadná odpověď. Důležitost se měří velice jednoduše – množstvím peněz, které do toho jdou. Takže ano, zdravotnictví je v ČR podstatně méně důležitý obor, než nemocnice. My jsme totiž the country for the future, konkrétně se tím myslí takový skanzen, aby budoucí generace evropanů někde viděli, jak to tu vypadalo dříve. Takže samozřejmě nebudeme investovat do vzdělávání nebo zdravotnictví, ale do oborů, které jsou za zenitem – automotive, letectví, jaderné elektrárny.

Správce v nemocnici může být odpovědný jak chce, ale když nedostane peníze na nákupu potřebného vybavení a služeb, neudělá skoro nic.

Krom toho, že by rezignoval a vyjádřil by tak svůj postoj k závažné situaci. Jenže nyní nemusí. Raději z peněz postaví novou fontánku před novou recepcí, dopřeje starostovi pár fotek ze slavnostního otevírání (a na oplátku bude ředitelem dál).

Koncový uživatel programu má především v licenci (prakticky) všech jeho dostupných SW napsáno, že dodavatel za nic neručí. Takže z tohoto hlediska pro něj žádný rozdíl mezi SW není.

To je ale jen proto, že to zákon nezakazuje. Ale prodávat dnes např. mixér (jako el. zařízení), kde výrobce napíše, že za jakékoliv vady a jejich následky neručí a když nechcete, nepoužívejte, to neexistuje. Přeloženo: Je to jen věcí společenského postoje realizovaného zákonem, a je na nás, zda to náhodou stejně jako kdysi u mixérů nechceme jinak.