Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Næsten alle moderne webapplikationer er opbygget med brug af open source-software, hvor programmets kildekode er åben og dermed kan ændres af brugeren. Brugen af open source-software har mange fordele, men er også risikabelt viser en ny it-sikkerhedsrapport fra verdens førende, uafhængige app security-leverandør, Veracode.
I arbejdet med rapporten ’State of Software Security (SoSS) Open Source Edition’ har Veracode analyseret 85.000 webbaserede apps, hvor det viste sig, at 70 procent havde mindst én form for sikkerhedsbrist. Fejlbehæftede filbiblioteker ender ofte indirekte i koden, og næsten halvdelen af dem, der bruges i apps (47 procent), bliver trukket direkte ind i koden fra det første filbibliotek – og ikke af udvikleren.
”Det er stort set umuligt for programmører at udvikle webbaserede apps uden brug af open source-software. Men desværre har open source-software ofte overraskende mange fejl. Det handler derfor om at identificere, vurdere og udbedre hver enkelt fejl, når det påkræves,” siger Hans Bak, salgsdirektør for Norden og Benelux hos Veracode.
Tre udbredte sikkerhedsbrister
Veracodes undersøgelse viser, at det mest almindelige sikkerhedshul er cross-site scripting (XSS) – en sårbarhed på et website, der giver en angriber mulighed for at afvikle programkode på vegne af en anden bruger uden validering først. Faktisk identificerede Veracode XSS i næsten en tredjedel (30 procent) af de analyserede open source-filbiblioteker.
Den næstmest udbredte brist er usikker deserialisering, hvor man konverterer fra et format tilbage til den oprindelige datastruktur, som opstår i knap en fjerdedel (23,5 procent) af de webbaserede apps. Dernæst kommer Broken Access Control, det vil sige adgang til en uautoriseret funktionalitet eller data, hvilket er gældende i en femtedel af tilfældene (20,3 procent).
Sikkerhedsopdateringer er nødvendige
Der er dog håb forude, når det kommer til at udpege disse sårbare områder. I undersøgelsen viser Veracode nemlig, at langt størstedelen (75 procent) af sikkerhedshullerne kan rettes ved hjælp af forholdsvis enkle sikkerhedsopdateringer.
”De fleste rettelser er relativt enkle. Udviklere producerer jo store mængder kode, men hvis de er opmærksomme på og anvender rettelser og sikkerhedsopdateringer korrekt, kan risikoen for sikkerhedsbrist forholdsvis enkelt reduceres,” siger Hans Bak fra Veracode.