дним из способов поддержки ПО был и остаётся регулярный выпуск обновлений безопасности. Это позволяет закрывать бреши и улучшать защищённость программ. Однако, как показало новое исследование, почти 4/5 разработчиков практически никогда не обновляют сторонние библиотеки после включения их в кодовую базу, хотя зачастую это довольно просто. Устаревшие библиотеки могут серьёзно повредить ПО, ведь в них возможны баги, бреши и прочее.
Если точнее, то речь идёт о 79 % подобных случаев — разработчики не обновляют сторонние библиотеки. По данным Veracode, в 73 % случаев это касается крупных и давно поддерживаемых проектов. При этом 50 % библиотек не обновлялись более 21 месяца, а 25 % — в течение четырёх лет. При этом если разработчики всё же учитывают этот фактор, то 17 % недоработок такого типа устраняются в течение одного часа и 25 % — в течение одной недели.
Крис Энг (Chris Eng), главный исследователь Veracode отмечает, что эта проблема проистекает не из недоработок в рабочем процессе. Причина состоит в нехватке контекстной информации. Если её недостаточно, то требуется в среднем более семи месяцев, чтобы исправить только 50 % проблем. А при полном объёме данных на решение тех же проблем нужно три недели. Иначе говоря, если разработчик считает ту или иную проблему несущественной, он может отложить её решение до лучших времён.
По словам Энга, если разработчик не понимает, почему SQL-инъекция опасна, он может отмахнуться от этого факта. При этом Энг отметил, что зачастую решения по той или ной проблеме принимает менеджер, а не программист. А многие разработчики игнорируют вопросы безопасности в пользу скорейшего выпуска продукта. Хотя откладывание исправления небольшого бага зачастую в будущем становится гораздо более серьёзной проблемой, поскольку тогда его исправить уже сложнее — можно «поломать» работу всей системы или значительной её части.