Устаревшие библиотеки назвали основной проблемой коммерческих проектов с открытым кодом
Разработчики часто пренебрегают обновлениями открытых компонентов, что сказывается на уровне безопасности конечного продукта.
Как сообщают аналитики из компании White Source, по итогам их недавнего исследования выяснилось, что наиболее часто встречающейся проблемой коммерческих программных продуктов, содержащих компоненты с открытым исходным кодом, является недостаточный уровень безопасности. Это, в свою очередь, связано с тем, что используемые разработчиками открытые библиотеки, как правило, не обновляются до последний актуальных версий.
Так, из 2,944 программных проектов, которые были подвергнуты детальному анализу, в 23% были обнаружены серьезные уязвимости (93% брешей классифицировались, как «критические» или «опасные»). При этом лишь около 1,3% обнаруженных открытых библиотек были обновлены разработчиками до последних версий.
Интересно также, что самыми популярными уязвимыми библиотеками являются Spring Framework, Apache POI, Spring-Security, Apache Xerces2 и Apache Commons FileUpload.
«Практически всегда существует определенный разрыв между тем, чего ожидают от команды разработчиков и тем, что они реально способны сделать. Как правило, им не хватает либо опыта, либо времени на то, чтобы обеспечить постоянно обновление открытых компонентов», - заключают в White Source.
Ознакомиться с отчетом можно здесь .
Тени в интернете всегда следят за вами