Programbiblioteker er sårbare

Artiklen blev oprindeligt publiceret den 28/3/2012

En række open source-biblioteker til systemudvikling indeholder sårbarheder. Mange indbygger de sårbare versioner i egne programmer.

Sikkerhedsfirmaet Aspect Security har analyseret 113 millioner downloads fra webstedet Sonatype, hvor man kan hente kodebiblioteker. Analysen viser, at i 26 procent af tilfældene hentede folk kode med kendte sårbarheder.

De mest hentede sårbare biblioteker var Google Web Toolkit (GWT), Apache Xerces, Spring MVC og Struts 1.x, skriver Network World.

Det fremgår ikke, hvor mange af sårbarhederne der regnes for alvorlige.

Jeff Williams fra Aspect Security siger til bladet, at der mangler en infrastruktur for, hvordan udviklere kan oplyse det til brugerne af deres biblioteker, når der findes en sårbarhed.

Anbefaling
Systemudviklere bør undersøge sikkerheden af de standardbiblioteker, som de indbygger i deres kode.

Links

• Open source code libraries seen as rife with vulnerabilities, artikel fra Network World
• The Unfortunate Reality of Insecure Libraries, blogindlæg fra Aspect Security