Sebagian besar developer (terbuka di tab baru) jangan pernah perbarui pihak ketiga sumber terbuka (terbuka di tab baru) perpustakaan setelah memasukkannya ke dalam basis kode, sebuah laporan baru ditemukan.
Disusun oleh firma keamanan aplikasi Veracode, laporan tersebut (terbuka di tab baru) didasarkan pada analisis 13 juta pindaian lebih dari 86.000 repositori, dengan total lebih dari 301.000 pustaka sumber terbuka unik.
Berdasarkan analisisnya, Veracode menemukan hampir semua repositori yang dipindai menyertakan perpustakaan dengan setidaknya satu kerentanan.
“Keamanan perpustakaan dapat berubah dengan cepat, jadi menyimpan inventaris terkini dari apa yang ada di aplikasi Anda sangatlah penting. Kami menemukan bahwa setelah pengembang memilih perpustakaan, mereka jarang memperbaruinya. Dengan vendor menghadapi peningkatan pengawasan seputar keamanan rantai pasokan mereka, tidak ada cara untuk membenarkan mentalitas ‘atur dan lupakan saja’,” kata Chris Eng, Chief Research Officer di Veracode.
Bill-of-material perangkat lunak
Veracode berpendapat bahwa karena hampir semua aplikasi modern dibuat menggunakan perangkat lunak sumber terbuka pihak ketiga, satu cacat dalam satu pustaka dapat dengan cepat mengalir ke semua aplikasi yang menggunakan kode tersebut.
Laporan tersebut mengungkapkan bahwa sebagian besar (92%) kekurangan di perpustakaan sumber terbuka dapat diperbaiki dengan pembaruan, dengan sebagian besar (69%) hanya pembaruan kecil.
Selain itu, meskipun pembaruan menghasilkan pembaruan tambahan, hampir dua pertiganya hanya akan menjadi perubahan versi kecil dan tidak mungkin merusak fungsionalitas aplikasi yang paling rumit sekalipun.
Pengungkapan dalam laporan tersebut memberi warna pada perintah presiden AS baru-baru ini mengamanatkan bill-of-material perangkat lunak (terbuka di tab baru) (SBOM) dari vendor yang memasok solusi perangkat lunak ke lembaga pemerintah AS, untuk memastikan seluruh basis kode aman.
Eng menekankan bahwa sangat penting bagi pengembang untuk selalu memperbarui perpustakaan dan merespons dengan cepat kerentanan baru saat ditemukan untuk memastikan keamanan di seluruh rantai pasokan perangkat lunak.
