Η συντριπτική πλειονότητα των τρωτών σημείων ασφαλείας σε έργα ανοιχτού κώδικα βρίσκονται σε δευτερεύοντα components παρά στα κύρια.
“Συγκεντρώνοντας τους αριθμούς από όλα τα οικοσυστήματα, βρήκαμε περισσότερες από τρεις φορές περισσότερες ευπάθειες σε δευτερεύοντα components από ό, τι κάναμε στα πρωτεύοντα”, δήλωσε η Alyssa Mille που εργάζεται στην Snyk, σε συνέντευξή της, συζητώντας την κατάσταση της ασφάλειας της εταιρείας.
Η αναφορά εξέτασε πώς τα τρωτά σημεία επηρέασαν τα JavaScript (npm), Ruby (RubyGems), Java (MavenCentral), PHP (Packagist) και Python (PyPI) οικοσυστήματα.
Η Snyk ανέφερε ότι το 86% των σφαλμάτων ασφαλείας JavaScript, το 81% των σφαλμάτων Ruby και το 74% των Java επηρέασε τις βιβλιοθήκες που εξαρτιόντουσαν από τα κύρια components που φορτώθηκαν μέσα σε ένα project.
Η Snyk υποστηρίζει ότι οι εταιρείες που σαρώνουν τα βασικά τους components για ζητήματα ασφαλείας χωρίς να διερευνούν και τα υπόλοιπα components θα καταλήγουν να τρέχουν προϊόντα που είναι ευάλωτα σε απρόβλεπτα σφάλματα.
Όμως, ενώ τα σφάλματα ασφαλείας ήταν διαδεδομένα σε JavaScript, Ruby και Java, δεν ήταν στην PHP και στην Python, όπου η συντριπτική πλειονότητα των σφαλμάτων ήταν στα άμεσα dependencies (πρωτεύοντα components). Ωστόσο, υπάρχει ένας λόγος για αυτό.
“Πιστεύω ειλικρινά ότι πρόκειται περισσότερο για την αναπτυξιακή προσέγγιση των ίδιων των οικοσυστημάτων”, δήλωσε η Miller στο ZDNet.
“Τα έργα Java και Node.js, ειδικότερα, φαίνεται να αξιοποιούν τα dependencies “πολύ βαρύτερα” από άλλα οικοσυστήματα. Ειδικότερα, όταν εξετάζετε το τεράστιο μέγεθος του οικοσυστήματος Node.js, τα πακέτα που δημιουργούν ή αξιοποιούν βασικές λειτουργίες από άλλα πακέτα είναι σχεδόν ο κανόνας.
«Αυτός ο « ξένος κίνδυνος », όπως θέλουμε να το ονομάζουμε, βρίσκεται στην καρδιά ορισμένων παραβιάσεων υψηλού προφίλ και βασικής αιτίας πολυπλοκότητας όσον αφορά την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού», δήλωσε η Miller.
Μερικά bugs είχαν μεγάλο αντίκτυπο
Αλλά η ομάδα της Snyk δεν εξέτασε απλώς τη θέση αυτών των σφαλμάτων στο οικοσύστημα ανοιχτού κώδικα, αλλά και τι είδους σφάλματα ήταν.
Ένα άλλο ενδιαφέρον εύρημα είναι ότι τα περισσότερα από τα νέα ελαττώματα ασφαλείας που ανακαλύφθηκαν το 2019 ήταν σφάλματα εντοπισμού scripting (XSS), αλλά παρά τον μεγάλο αριθμό τους, αυτά επηρέασαν μόνο ένα μικρό μέρος project πραγματικού κόσμου.
Αντ ‘αυτού, δύο δωδεκάδες σφάλματα «prototype pollution» είχαν το μεγαλύτερο αντίκτυπο από όλα τα σφάλματα που ανακαλύφθηκαν πέρυσι, επηρεάζοντας περισσότερα από 115.000 διαφορετικά έργα ανοιχτού κώδικα, και πιθανώς ακόμη περισσότερα ιδιωτικά.
Από αυτά, τα σφάλματα ««prototype pollution» στο jQuery και το LoDash είχαν το μεγαλύτερο αντίκτυπο, καθώς αυτά τα πλαίσια είναι μερικά από τα πιο ευρέως χρησιμοποιούμενα εργαλεία ανάπτυξης JavaScript σήμερα.
Ωστόσο, η ομάδα της Snyk επισήμανε και κάτι άλλο στην έκθεσή της – ότι τα «κακόβουλα πακέτα» κατατάχθηκαν ως το δεύτερο πιο συνηθισμένο είδος ζητήματος ασφαλείας που βρήκαν σε project πέρυσι.
Σύμφωνα με την Snyk, πέρυσι, παραβιασμένα ή κακόβουλα πακέτα ήταν η δεύτερη πιο κοινή πηγή ζητημάτων ασφάλειας για οικοσυστήματα ανοιχτού κώδικα.
“Η συντριπτική πλειοψηφία, άνω του 87%, προέρχονταν από πακέτα npm [JavaScript]”, δήλωσε η Miller στο ZDNet.
