[ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Модератор: Модераторы разделов
[ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Компания Veracode опубликовала результаты исследования проблем с безопасностью, вызванных встраиванием открытых библиотек в приложения (вместо динамического связывания многие компании просто копируют в состав своих проектов нужные библиотеки). В результате сканирования 86 тысяч репозиториев и опроса около двух тысяч разработчиков определено, что 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются.
При этом устаревший код библиотек становится причиной проблем с безопасностью, которых в 92% случаев можно избежать простым обновлением кода библиотеки. Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны, так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.
Влияние также оказывает информирование разработчиков о появлении уязвимостей - в случае, если разработчики были уведомлены о проблеме в библиотеке, в 17% случаев проблема решалась в течение часа, а в 25% - одной недели. При наличии информации о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев исправление выпускалось в течение трёх недель, а без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев.
Четверть опрошенных разработчиков заявили, что при выборе библиотеки для встраивания основное внимание уделяется функциональности и лицензии на код, а уже потом учитывается безопасность.
Примечательно, что с проверкой лицензий на код ситуация не лучше - 54% опрошенных признались, что не всегда проверяют лицензию на код библиотеки перед её интеграцией в свой продукт. Обязательную проверку лицензионной совместимости практикуют только 27% опрошенных.
Источник: https://www.opennet.ru/opennews/art.shtml?num=55396
(opennet.ru, мини-новости)
При этом устаревший код библиотек становится причиной проблем с безопасностью, которых в 92% случаев можно избежать простым обновлением кода библиотеки. Отговорки, что обновление библиотек не производится из-за возможного нарушения совместимости, в большинстве случаев беспочвенны, так как в 69% случаев уязвимости были устранены в корректирующих выпусках, не связанных с изменением функциональности.
Влияние также оказывает информирование разработчиков о появлении уязвимостей - в случае, если разработчики были уведомлены о проблеме в библиотеке, в 17% случаев проблема решалась в течение часа, а в 25% - одной недели. При наличии информации о том, как уязвимость в библиотеке может привести к компрометации приложения, в 50% случаев исправление выпускалось в течение трёх недель, а без предоставления сведений - устранения уязвимости приходилось ждать 7 и более месяцев.
Четверть опрошенных разработчиков заявили, что при выборе библиотеки для встраивания основное внимание уделяется функциональности и лицензии на код, а уже потом учитывается безопасность.
Примечательно, что с проверкой лицензий на код ситуация не лучше - 54% опрошенных признались, что не всегда проверяют лицензию на код библиотеки перед её интеграцией в свой продукт. Обязательную проверку лицензионной совместимости практикуют только 27% опрошенных.
Источник: https://www.opennet.ru/opennews/art.shtml?num=55396
(opennet.ru, мини-новости)
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Какое важное открытие.
Оно и так было понятно. И так же будет в дальнейшем.
Стимулов к изменению этой ситуации, как не было, так и не будет. Пока жареный петух не клюнет.
Оно и так было понятно. И так же будет в дальнейшем.
Стимулов к изменению этой ситуации, как не было, так и не будет. Пока жареный петух не клюнет.
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Да ладно, не все так плохо. Проблемы с безопасностью как правило возникают при использовании излишней функциональности приложения, позволяющей использовать уязвимость в библиотеке, ну а если этот функционал не используется то и смысла что то менять нет. Другое дело почему при обновлении библиотек как правило меняется и интерфейс обращения к библиотеке...
Ну и тут прямо говорится, что основная причина этого, плохое информирование разработчиков об уязвимостях.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Вот так достаточно.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Это ещё больше попахивает паранойей.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Да нет, это трезвый взгляд на вещи. Паранойя — это когда видят не просто проблемы с безопасностью, а лезущих отовсюду врагов.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Ну с такой логикой тогда уж - ляг поспи и всё пройдет.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Не распарсил. Что пройдёт? Дырки сами закроются?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Это в сторону того, что если не запускать приложение, то и головной боли с безопасностью не будет.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Вы, может быть, удивитесь, но один из самых эффективных способов профилактики взлома — уменьшение поверхности атаки, то есть сведение к минимуму количества установленного и работающего софта и его контактов с внешним миром.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
В целом согласен, что надо давать людям почитать рассказ хакер в столовой и чётко отделять реальные угрозы и какие то теоретические проблемы с безопасностью.
Ну и костёр с краном тут к месту был бы.
Ну и костёр с краном тут к месту был бы.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
А их невозможно отделить. Сегодня они теоретические, а завтра их уже эксплуатируют все, кому не лень.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Да это мем и найти я его не смог. Там в поле стоит машина кран, которая держит на троссе над костром котелок. Что не редко делается в "раз раз и в продакшен", когда ради одногой нужной функции "треноги над костром" подлючают огромную библиотеку.
зы
почему я на пых "бывает" копирую библиотеку и подключаю её. Для удешевления разработки, конечно. Не надо разбираться в чужом коде, брать только то, что нужно мне. Скопировал всё, юзаешь по api описанному. Может крупные компании с десятками разработчиков имеют какие то иные причины,но вопрос.
Неужели кто то из специалистов проводящих данное исследование думал, что люди не понимают рисков? Ну вот этого всего. Подключение чужого кода в свой проект, копирование кода в проект, а не штатного подключения, отказ от обновлений кода и отказ остлеживаня его уязвимостей? Ну вот правда, ислледование уже ближе к паранойе.
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Мы наверное на разных зыках говорим. Тут с самого начала под излишней функциональностью можно уже догадаться, что понимается использование узкоспециализированного ПО, в котором просто невозможно что либо сделать, что повредит систему, так как таких функций попросту нет см.Bizdelnick писал: ↑28.06.2021 11:18Вы, может быть, удивитесь, но один из самых эффективных способов профилактики взлома — уменьшение поверхности атаки, то есть сведение к минимуму количества установленного и работающего софта и его контактов с внешним миром.
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Ну это примерно как бесконечно находимые дыры в процессорах/протоколах/интерфейсах. Читая которые, кажется что пора пойти и выкинуть всю технику в доме Понятно что должен быть какой-то здравый смысл, но у программистов в литературе про использование библиотек обычно написано, но так же бывает мнение что лучше писать сначала плохой код, а потом заниматься рефакторингом, чем писать его, выполняя все принципы и рекомендации.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Тут говорится об использовании библиотек. Можно подумать, узкоспециализированное ПО их не использует.
Добавлено (12:31):
Сначала пишут прототип. Но это не значит, что в прототипе должен быть плохой код. Рефакторинг — штука трудозатратная, зачастую даже более, чем написание кода с нуля.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Только словосочетание "здравый смысл" целиком заменяется словом "деньги".
Ну вот задача, срочно надо разобрать dom модель разных веб страниц. Варианты.
Качаем библиотеку https://sourceforge.net/projects/simplehtmldom/files/simplehtmldom/ которая (о ужас) старая как вся моя жизнь и ни у одного параоика тест на "безопасность" не пройдёт.
Пишем сами. Думаю пары недель хак марафона хватит, чтобы отдых только на еду, сон и поспать. Ловим кучу багов, зато свои!
Нанимаем банду кодеров, они за пару месяцев выдадут вполне хороший код, всё будет работать.
Но беда, по факту код с этой библиотекой нужен был вчера. А через неделю вдруг окажется этот код ваще в проекте был не нужен, нечего рефакторить, его выпилят или в худшем случае просто бросят.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Не выдадут. В данном примере использование библиотеки куда более оправданно в том числе и с точки зрения безопасности.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
В исследовании из старт поста прям явно и очевидно, что библиотека, которая пару лет не обновлялась явно попала бы в "проблемные". А особенно учитывая, что её используют все через одного локально копируя себе на комп и не следят, что когда обновляется там. Ну просто особенность пых и многого в джава скрипт.Bizdelnick писал: ↑28.06.2021 12:43В данном примере использование библиотеки куда более оправданно в том числе и с точки зрения безопасности.
О чём и речь. Исследование из старт поста разбирает теоретические, а не реальные проблемы. И хотя в реальности любой кодер поступит именно так (скопирует себе библиотеку локально; заюзает её даже если просто надо титл выделить с линков). Но в теории он будет не прав и любой параноик ему это докажет.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
С чего бы это? Там вообще речь идёт об обновлении забандленных библиотек, в которых есть известные уязвимости.
Вот об этой проблеме, да.
Да нет, это особенность подхода к разработке.
Если наличие в софте реальных давно известных дыр для Вас — чисто теоретическая проблема, у меня к Вам большая просьба: пожалуйста, держитесь подальше от ИТ, попробуйте реализовать себя в другой сфере.
Не надо говорить за всех.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Хорошо. Конекретно вы в примере выше поступите именно так.
Добавлено (04:01):
Соврали, как вы часто это делаете. Ответили на своё враньё. Как модератор заняты вы только разрушением unixforum поэтому нашли очень удобный повод выгнать кого то с linux. Хоть одного выгнать, да получится. Мой вывод? Мне вас жаль.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Вам ещё одно предупреждение за заведомо ложную информацию выписать?
Объяснитесь, пожалуйста. В чём заключается враньё?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Выше вы писали:Bizdelnick писал: ↑29.06.2021 10:57Вам ещё одно предупреждение за заведомо ложную информацию выписать?
То есть это опять, совет дали, но сами так делать никогда бы не стали? Почитайте последовательно, там никакого сомнения нет, в данной ситуации вы бы также взяли данную библиотеку. Моё мнение прежнее. Любой кодер взял бы. Кто не взял -- по сути устроил бы забастовку на рабочем месте.Bizdelnick писал: ↑28.06.2021 12:43В данном примере использование библиотеки куда более оправданно в том числе и с точки зрения безопасности.
зы
файрфокс 52 версии компилируется с alsa. Далее одни беды, на системах с pulseaudio. А фф еср 52 версии немного устарел. Но вам ведь пофиг, да. Вам надо банить людей.
Я писал про теоретические, а НЕ реальные проблемы. Вы же сразу переврали мои словаBizdelnick писал: ↑28.06.2021 14:40Исследование из старт поста разбирает теоретические, а не реальные проблемы.
То есть я должен, внезапно, начать оправдываться за то, что я не писал. Но это враньё, я не писал, про реальные проблемы, я писал про теоретические. Вопрос, зачем даже обсуждать враньё? К чему этот оффтоп? Погадаем.
Если бы вы "немного слукавили", дофантозировали за меня и в результате дали бы полезный совет. Например, обращать внимание на реальные проблемы безопасности в коде очень важно, если хотите программировать никогда не упускайте их из виду. Это было бы одно. Но у вас же цель другая, верно? И поэтому вы пишите. Вам тут нечего делать, уходите. Вы же с баном поможете, чтобы на одного любителя линукс стало меньше?
---
У вас что то случилось. Вы свою злобу выплёскиваете на форуме. Вам намекают, с вами вяло переругиваются. Вас несёт от безнаказанности всё больше и больше.
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Я бы взял библиотеку. Но это не значит, что я бы стал её бандлить в проект и не следил бы за обновлениями.
Это Вы переврали новость, а не я — Ваши слова.
Вы писали про текст новости. В ней рассказывается о вполне реальных проблемах. Кроме того, процитированные Вами мои слова вообще не содержат утверждения, и потому враньём являться не могут.
У меня не настолько богатая фантазия, и я слишком давно Вас наблюдаю, чтобы суметь представить, будто Вы способны переменить своё нигилистическое отношение к вопросам безопасности.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Бинго, да? Условие задачи помните? Через неделю задача отпадёт и вам не надо будет вообще о этой библиотеке и коде думать. Его либо бросят, либо удалят. Ну там подробно задачу раписал. Все бы взяли эту библиотеку под ту задачу. Ну кому работать надо.
Поэтому вы процитировали мои слова. Это всё завязано на том же моём примере. У меня кстати нет сомнений, что библиотека из моего примера проблемная. Хотя бы потому что я ей активно пользовался для разбора миллионов разных сайтов и вот исламисткие и японские страницы, код скорее вылетал, чем работал. Даже без поиска багов для этой библиотеки. Но я же его "внедрил" в свой код. Поэтому отверял переменные, прежде чем передать на разбор, обрабатывал падения кода, который я лично не писал, юзал только ту узкую часть, которая мне лично была нужна.
Да к чему этот оффтопик, вы сами всё понимаете, почитайте тему с начала, вы заранее стали готовить враньё. posting.php?mode=quote&f=2&p=1346448 Я писал теоретические!
Пытаетесь выкрутиться, философию ещё подключите. Вы гоните людей из it.Bizdelnick писал: ↑29.06.2021 11:53процитированные Вами мои слова вообще не содержат утверждения, и потому враньём являться не могут.
Предупреждение
Друзья, может, хватит обвинять друг друга во вранье?
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Зачем мне философия? Мне лингвистики достаточно. Но если Вы не в курсе, что такое сослагательное наклонение, Вам, конечно, этого не понять. Но изъясняться более прямолинейно мне скучно.
Я не могу никого прогнать из ИТ (к сожалению). Могу только попросить заняться чем-то, что, возможно, будет получаться лучше. И явно не затем, чтобы человек этой просьбе последовал, потому что он заведомо не последует (к сожалению), а чтобы попытаться донести некую мысль.
Добавлено (12:42):
Да, за эти слова было бы неплохо извиниться. Но и этого Вы тоже, конечно, не сделаете.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
Эта мысль звучит у вас в голове? Вы не можете писать прямо, без намёков. Пока ваша мысль:
Не понимаю за что. Нигде не писал так, как это написали вы, изначально писал о теоретических проблемах. Показал вам библиотеку с такими же проблемами, которые в теории есть, их немеряно, но это особо не останавливает, даже вас. Потому что проблемы теоретические, а задачу надо было решить вчера или в кратчайшее время.
Вопрос.
Могу попросить вас не выгонять людей, а предлагать им становится лучше? Я бы промолчал, если бы вашей целью было не разогнать всех. Я вот линукс вижу в основном только на домашних пк. На рабочих, там работа, там эксперементов нет и быть не может. Софт также пишу для себя. Мне выкинуть компы из дома, это ваш совет? На рпи тоже перестать чо то делать?
- Bizdelnick
- Модератор
- Сообщения: 20792
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] 79% встроенных в код сторонних библиотек никогда не обновляются
За голословное обвинение в систематическом вранье.
- По поводу наличия проблем с безопасностью в парсере на PHP у меня есть сомнения. Это ж не C, где можно мимо буфера промахнуться. Это в теории, как Вы хотели. На практике всякое может быть, конечно.
- Я не говорил, что взял бы именно эту библиотеку. Я бы предварительно как минимум заглянул в код, а уж в случае обнаружения большого числа багов точно пересмотрел бы выбор.
Ещё чуть-чуть, и Вы поймёте смысл моего сообщения, которое Вас так задело. Если бы не задело, Вы бы на него не обратили внимания, значит, стиль всё же выбран правильно.
Или не поймёте…
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |