Estudo da Veracode em 351.000 bibliotecas de código aberto e 85.000 aplicações mostra fragilidade nos principais recursos para desenvolvimento de software

Mais uma pesquisa indica que componentes de código aberto usados no desenvolvimento de aplicações trazem fragilidades para a segurança: ela foi feita pela Veracode, empresa especializada em qualificação e testes de software e está no relatório “STATE OF SOFTWARE SECURITY Open Source Edition“. A principal conclusão do estudo é que 70% dos aplicativos usados ​​atualmente têm pelo menos uma falha de segurança decorrente do uso de uma biblioteca de código aberto.

Numa pesquisa publicada no início do mês, a Synopsis publicou um estudo mostrando que 99% de todo software contém componentes de open source. E perto de 90% desses componentes estão desatualizados. A empresa examinou 1.253 aplicações comerciais em 17 setores econômicos. Já a pesquisa da Veracode examinou 351.000 bibliotecas externas em 85.000 aplicativos e constatou que as de código aberto são extremamente comuns. Por exemplo, a maioria dos aplicativos JavaScript contém centenas de bibliotecas de código aberto – alguns utilizam mais de 1.000 bibliotecas diferentes. Além disso, a maioria dos idiomas apresenta o mesmo conjunto de bibliotecas principais.

De acordo com o estudo, elas fornecem ao mesmo tempo em que oferecem aplicação ready-made para os desenvolvedores elas mas criam riscos. “O JavaScript e o PHP, em particular, têm várias bibliotecas que estão em praticamente todos os aplicativos”, informa o relatório.

Quatro bibliotecas principais representam a maioria dos erros de código aberto encontrados nos aplicativos: Swift, .NET, Go e PHP. O Swift tem uso especializado no ecossistema da Apple e possui a maior densidade de falhas, de acordo com a Veracode. No entanto, também possui baixa porcentagem geral de bibliotecas defeituosas em termos de volume.

O .NET tem a menor porcentagem de bibliotecas defeituosas dentre as quatro e em uma população que é 17 vezes maior que a Swift. Já o Go tem alta porcentagem de bibliotecas com falhas, mas um número geral baixo de falhas por biblioteca individual. E o PHP tem a taxa mais alta de bibliotecas defeituosas do que o Go – mas mais o dobro da densidade de falhas em uma determinada biblioteca.

Fonte: CISO Advisor