Копирование общедоступных участков кода делает приложения уязвимыми к атакам

Команда исследователей из канадских и иранских университетов проверила более 72 тыс. фрагментов кода, опубликованных на web-сайте Stack Overflow. Многие общедоступные фрагменты кода оказались низкокачественными, без элементарных проверок, а также содержали в себе уязвимости.

Stack Overflow представляет собой популярный сайт вопросов и ответов о программировании. Сайт пользуется популярностью среди разработчиков, которые ищут советы о том, как исправить неправильный код.

Исследовательская группа проверяла фрагменты кода, написанные на языке программирования C++, который используется в самых разных проектах — от небольших программ до больших распределенных систем. Опасные фрагменты кода часто использовали устаревшие функции, почти не проверяли ответы пользователей и не обнаруживали попытки взлома приложения. Исследователи также выяснили, что наиболее широко используемые разработчиками небезопасные участки кода присутствовали в более чем 2800 отдельных проектах на web-сайте Github.

Команда проинформировала разработчиков об угрозе безопасности в их приложениях и программах, однако только 13% из них исправили уязвимый код. Аналогичное количество разработчиков отказалось исправить ошибки, а около 40% были уверены в безопасности кода, потому что «пользователи не могут изменить его после запуска приложения».