В трех из четырех приложений есть библиотеки с открытым исходным кодом

Наличие уязвимостей в приложениях для ПК и смартфонов – обычная практика. Причем это актуально как для начинающих разработчиков, так и для крупных ИТ-компаний. По результатам исследования Veracode, более 70% используемых сейчас приложений имеют уязвимости, напрямую связанные с эксплуатацией библиотек с открытым исходным кодом.

Эксперты из Veracode провели анализ более 350 000 внешних библиотек в 85 000 приложениях и заявили о том, что наиболее распространенной проблемой является наличие библиотек с открытым исходным кодом.

В своем отчете исследователи отмечают, что PHP и JavaScript располагают встроенными библиотеками, содержащимися в каждом веб-приложении. И в этих библиотеках есть уязвимости, а из-за повторной эксплуатации кода проблема распространится на тысячи приложений.

Специалисты Veracode отмечают, что наиболее проблемным являются библиотеки на языках PHP.Swift, GO, .NET, Swift, которые чаще всего применяются на гаджетах Apple. В случае с .NET говорится о минимальном показателе количества найденных уязвимых библиотек, а в GО, наоборот, таких библиотек множество, но в каждой из них сравнительно малое число проблем. Наиболее проблемными среди всех были признаны библиотеки PHP.

Эксперты Veracode также проанализировали часто встречающиеся типы уязвимостей в библиотеках, описанных выше языков, в результате чего самым частым было признано межсайтовое выполнение сценариев – оно было актуально почти для трети исследуемых библиотек. Специалисты компании по информационной безопасности также отметили проблемы, связанные с небезопасной десериализацией и нарушением контроля доступа.

По результатам проведенного анализа эксперты Veracode пришли к заключению, что наибольшее количество проблемных библиотек (практически половина из всех рассмотренных) проникают в исходный код веб-приложений из-за каскадной взаимосвязи. К примеру, разработчики эксплуатируют выбранную библиотеку, а она в скрытом режиме начинает работать с исходным кодом другой библиотеки.