De nem úgy, és nem azért... Egyáltalán nem az open source-modell a hibás, hanem a felelőtlen fejlesztők.

A modern szoftverek biztonsági szempontból leginkább egy aknamezőre hasonlítanak, állítja egy friss kutatás. Az ok pedig nem más, mint a nyílt forráskód – pontosabban a nyílt forráskódot felhasználó felelőtlen fejlesztők. Az alkalmazásbiztonsági megoldásokat fejlesztő Vercode State of Software Security v11: Open Source Edition című tanulmánya szerint egyre gyakoribb, hogy a fejlesztők third-party nyílt forráskódú könyvtárakat használnak fel a kódbázisukban – aztán soha többet nem frissítik ezeket a külső elemeket.

A mai alkalmazások túlnyomó része használ nyílt forráskódú elemeket, melyekbe folyamatosan érkeznek biztonsági frissítések. (Az open source mellett az egyik érv épp a "több szem többet lát" elv érvényesülése. Bárki belenézhet a forrásba, és ha hibát észlel, azonnal javíthatja, és be is küldheti.) Azok az alkalmazásfejlesztők azonban, akik szoftverükhöz felhasználnak open source könyvtárakat, a felhasználás utána ritkán frissítik azokat, vázolta az alapproblémát Chris Eng, a Vercode kutatási vezetője a The Registernek.

Mint mondta, ez az "állítsd be és felejtsd el" mentalitás egyszerűen nem tartható. Ma létfontosságú, hogy egy szoftverben a frissen felfedezett sérülékenységeket azonnal javítsák a fejlesztők. Ezzel szemben a kutatás szerint a harmadik féltől származó könyvtárak 80 százaléka soha nem frissül. A kutatáshoz elemzett repositoryk szinte mindegyikében találtak a kutatók legalább egy sebezhetőséget.

Az adatok nem légből kapottak. A kutatáshoz 86 ezer repositoryn (ezek összesen több mint 300 ezer egyedi könyvtárat tartalmaztak) összesen 13 millió vizsgálatot futtattak le. Emellett 2000 fejlesztő a cég online kérdőívét is kitöltötte.

Többségéhez csak frissíteni kellene

A javítatlan biztonsági rések aránya azért is döbbenetes, mert 92 százalékuk felszámolásához elég lenne frissíteni a felhasznált külső könyvtárat. Ráadásul ezeknek a frissítéseknek a kétharmada csekély mértékű, így a legösszetettebb alkalmazások működését sem befolyásolják.

Egyébként a fejlesztők válaszaiból az derült ki, hogy 52 százalékuk alkalmaz formális folyamatot harmadik fél könyvtárainak kiválasztására, és a választáskor nem a biztonság az elsődleges. A legfontosabb szempont sorrendben a funkcionalitás, a licencelés és a biztonság. Utóbbit viszont csak fejlesztők alig több mint fele vizsgálja meg minden esetben, bár több mint 80 százalékuknak ez frekventált szempont.

Riasztóak az adatok, de nem meglepőek, mondta a The Registernek egy alkalmazásbiztonsági szakértő. A fejlesztők egyszerűen nem követik a könyvtárak változásait. Nem véletlen, hogy az ebből eredő kockázat az OWASP (Open Web Application Security Project) kockázati toplistáján is szerepel.

A fejlesztők preferenciái könyvtárválasztáskor

Forrás: Vercode State of Software Security v11: Open Source Edition


A lapnak nyilatkozó szakértő a 2017-es Equifax-incidenssel illusztrálta, mekkora kockázatot hordoz ez a hozzáállás. A támadás során 143 millió ügyfél adatait veszítette el a hitelbíráló, köztük 200 ezret a hitelkártya-információval együtt. Ez körülbelül 1,4 milliárd dollárba került a vállalatnak, miközben csupán egy külső könyvtárat kellett volna frissíteni, hogy a támadók ne férhessenek hozzá az adatokhoz.

Ez a kockázat csak növekedni fog

A Veracode szerint a helyzet csak súlyosbodhat. A nyílt forráskód egyre népszerűbb, a fejlesztési ciklusok rövidülnek, így egyre nagyobb a nyomás a fejlesztőkön, hogy gyorsan produkáljanak eredményt – ezért még nagyobb arányban hasznosítanak open source könyvtárakat és így tovább. Ezzel pedig még hátrébb szorul a biztonság a prioritási sorban.

Biztonság

Ezek a robotok tényleg elvehetik a munkát

A Xiaomi gyártósorokra tervezett humanoid robotjai a legutóbbi teszteken már közel olyan jól teljesítettek, mint egy tapasztalt üzemi munkás.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.