Hlavní navigace

Mobilní i desktopové aplikace mají v 70 % případů bezpečnostní chyby v open-source knihovnách

Sdílet

David Ježek 26. 5. 2020
JavaScript

Téměř tři čtvrtiny programů pro mobily i desktopy obsahují minimálně jednu bezpečnostní chybu, která je přítomna v použitých open-source knihovnách, tvrdí Veracode ve své pravidelné zprávě o stavu zabezpečení.

Experti z Veracode dodávají, že téměř všechny současné aplikace používají ke svému běhu nějaké open-source knihovny právě proto, že nemusejí danou funkcionalitu vyvíjet sami, ale důsledkem je ona přítomnost chyb. Analyzovali přitom více než 85 tisíc programů a souvisejících importovaných knihoven, tedy celkově 351 tisíc kombinací unikátních externích knihoven.

Ve zprávě se hovoří například o JavaScriptových aplikacích, které často používají stovky různých knihoven, některé i více než 1 tisíc. Většina jazyků pak používá stejnou sadu základních knihoven, zejména právě JavaScript či PHP, a ty jsou pak přítomny v každé napsané aplikaci.

Většina nalezených chyb se nachází v produktech jako Swift, .NET, Go a PHP knihovnách. Dopad chyb se samozřejmě liší. Nejčastější typem zranitelnosti je cross-site scripting (XSS), obsažený ve zhruba třetině knihoven. Oprava přitom většinou není náročná, stačí menší zásah a vydání nové minoritní verze dané knihovny.

Našli jste v článku chybu?