Πολύ συχνά, όταν οι προγραμματιστές αντιμετωπίζουν κάποιο πρόβλημα με τον κώδικά τους, συνηθίζουν να κάνουν αντιγραφή-επικόλληση αποσπάσματα κώδικα από το δημοφιλές φόρουμ Stack Overflow, προκειμένου να το επιλύσουν.
Ωστόσο μία νέα έρευνα που πραγματοποιήθηκε πρόσφατα, με τίτλο “An Empirical Study of C++ Vulnerabilities in Crowd-Sourced Code Examples”, υποδηλώνει ότι αυτή η πρακτική ενέχει σοβαρά ζητήματα ασφαλείας.
Οι κώδικες που αντιγράφονται μπορούν να οδηγήσουν σε ευπάθειες
Εξετάζοντας περισσότερα από 72.000 αποσπάσματα κώδικα C ++, που λήφθηκαν από 1.325 posts του Stack Overflow, οι συγγραφείς της έρευνας ανακάλυψαν 69 ευάλωτα αποσπάσματα 29 διαφορετικών τύπων.
Παρόλου που ο αριθμός αυτός ίσως φαίνεται μικρός, σε σχέση με την τεράστια ποσότητα έργων στο GitHub, τα 69 ευάλωτα αποσπάσματα που ανακαλύφθηκαν, εμφανίστηκαν σε 2.589 GitHub repos, κι αυτό σίγουρα είναι ανησυχητικό.
Παρόλο που οι ερευνητές ανέλαβαν την ευθύνη να ειδοποιήσουν τους δημιουργούς έργων στο GitHub, μόνο ορισμένοι από αυτούς θέλησαν να διορθώσουν τα ελαττώματα που αποτελούσαν γνωστές CWEs (Common Weakness Enumeration).
Ο σκοπός της έρευνας ήταν να περιγράψει τον τρόπο με τον οποίο ο κώδικας περνάει από το Stack Overflow στο GitHub και πώς η χρήση κωδίκων χωρίς προσεκτικό έλεγχο, μπορεί να οδηγήσει σε πιθανές ευπάθειες στο λογισμικό.
Για τη μελέτη αυτή, η ομάδα επέλεξε να επικεντρωθεί σε έργα που βασίζονται σε C ++. Τα περισσότερα από τα CWE που βρέθηκαν ήταν τα CWE-20 (Improper Input Validation), CWE-754 (Improper Check for Unusual or Exceptional Conditions) και CWE-1006 (Bad Coding Practices).
Λανθασμένη χρήση της πλατφόρμας
Το φόρουμ Stack Overflow, χρησιμοποιείται κυρίως για ερωτήσεις και απαντήσεις. Πολλοί προγραμματιστές που υποβάλλουν αποσπάσματα κώδικα ως λύση, μπορεί να μην έχουν σωστή κατανόηση της ασφάλειας κώδικα.
Γεγονός που σημαίνει ότι το να χρησιμοποιούνται αυτά τα αποσπάσματα δεν είναι και ότι καλύτερο. Είναι προτιμότερο ένας προγραμματιστής να αφιερώσει λίγο παραπάνω χρόνο και κόπο για να υιοθετήσει πιο ασφαλείς πρακτικές προγραμματισμού.
Υπάρχει όμως μια λύση
Πολλοί προγραμματιστές σίγουρα δυσκολεύονται να εγκαταλείψουν παντελώς το Stack Overflow. Έχοντας αυτό κατά νου, οι ερευνητές έχουν αναπτύξει μια επέκταση Chrome, που μπορεί να βοηθήσει στον προσδιορισμό της ασφάλειας ενός κώδικα.
Εγκαθιστώντας την επέκταση, γίνεται έλεγχος στον κώδικα που αντιγράφεται, σε σύγκριση με τη βάση δεδομένων CWE και ο προγραμματιστής ειδοποιείται εάν το απόσπασμα του κώδικα περιέχει γνωστά ελαττώματα.
Η επέκταση είναι προγραμματισμένο να κυκλοφορήσει σύντομα. Μείνετε συντομισμένοι.
