Dependências de código aberto: o que os programadores precisam de saber

Conteúdo

Dependências de código aberto

As estruturas e bibliotecas de código aberto são os Legos do trabalho de desenvolvimento de aplicações - peças prontas que podem ser encaixadas com um gestor de pacotes para poupar tempo, evitar reinventar a roda e aceder a código aprovado pela comunidade para elementos críticos como a criptografia. O ecossistema tem tanto potencial e velocidade inexplorados, mas, tal como pisar uma peça de Lego durante a noite, a má gestão destas dependências pode facilmente provocar dores inesperadas e surpreendentemente agudas.

Também conhecido como

pacotes de terceiros

bibliotecas externas

1 em 8

as descargas de código aberto implicam um risco conhecido.

Fonte

Sonatype

N.º 6

o mais comum e perigoso de todos os riscos de segurança, e o n.º 2 no inquérito da comunidade OWASP.

Fonte

OWASP

96%

das bases de código contêm componentes de código aberto, com uma média de 526 componentes por aplicação.

Fonte

Synopsys

Um exemplo de dependências de código aberto e como funcionam

Para as aplicações Web, as dependências de código aberto existem em três tipos principais:

Dependências transitivas

Quando seu projeto depende do Node.js, e o Node.js depende de centenas de outras bibliotecas, você também depende delas. Gerir este ecossistema extenso de dependências de terceira, quarta e quinta camadas torna-se rapidamente um verdadeiro incómodo.

Dependências de desenvolvimento

Ferramentas que utiliza durante o desenvolvimento, como estruturas, ferramentas de compilação, formatadores ou linters de código e geradores de documentação. Estas não são necessárias para a execução real da sua aplicação e não estão incluídas em compilações prontas para produção.

Dependências de tempo de execução

Componentes essenciais de que a sua aplicação necessita para funcionar com êxito, como depender de uma versão específica de um MySQL para armazenar dados ou de um ambiente de tempo de execução como o Node.js.

Como é que a gestão das dependências de código aberto ajuda os programadores?

Melhor compreensão do risco de segurança

Mesmo as bibliotecas de código aberto mais populares e mais desenvolvidas podem esconder vulnerabilidades críticas que podem afetar a sua aplicação, a experiência do utilizador ou mesmo os dados confidenciais dos clientes. Ao gerir estas dependências, pode mitigar proactivamente os riscos em vez de procurar uma correção depois de os danos estarem feitos.

Estabilidade e fiabilidade

Quando tem visibilidade total do impacto da atualização das suas dependências, pode beneficiar de correcções de erros, melhorias de desempenho e novas funcionalidades com muito menos riscos.

Garantias de conformidade mais fortes

O licenciamento de código aberto é um verdadeiro campo minado de riscos legais, que pode resultar em dolorosos projectos de refactoring. Com a visibilidade do seu atual ecossistema de licenciamento e a capacidade de acompanhar as alterações ao longo do tempo, pode beneficiar em segurança destes componentes prontos a utilizar sem criar ainda mais dores de cabeça.

Proteja a sua aplicação num instante

O Aikido dá-lhe uma visão geral instantânea de todos os problemas de segurança do seu código e da nuvem, para que possa fazer uma triagem rápida e corrigir vulnerabilidades de alto risco.

Iniciar gratuitamente

Como gerir e analisar as dependências de código aberto: uma visão geral

Você já sabe como instalar e atualizar dependências, mas e quanto à verificação de vulnerabilidades e possíveis riscos de licenciamento? Infelizmente, o ecossistema de ferramentas para verificação de dependências pode parecer muito complicado, levando muitos a confiar passivamente em ferramentas como Dependabot para GitHub ou Dependency Scanning para GitLab.

Implementação do controlo de dependências

Envie o seu código para um repositório GitHub/GitLab.

Esperar.

Espero que o scanner de dependências o informe de uma vulnerabilidade... e que as pessoas certas a vejam para fazer a correção adequada.

Ou com o aikido

Aikido

Ligar sua conta do GitHub, GitLab, Bitbucket ou Azure DevOps.

Escolha quais repositórios/nuvens/contêineres serão verificados.

Obtenha resultados prioritários e conselhos de correção em poucos minutos.

Melhores práticas para uma gestão eficaz das dependências de código aberto

Ao desenvolver uma nova aplicação, comece com algum tipo de ficheiro de bloqueio (por exemplo, package-lock.json) para garantir instalações consistentes em ambientes de desenvolvimento/estágio/produção e até mesmo em vários desenvolvedores trabalhando de forma assíncrona.

Você e seus colegas devem encarar a tarefa de adicionar qualquer nova dependência com ceticismo - faça uma análise de custo-benefício para saber se você mesmo poderia razoavelmente implementar a mesma funcionalidade. Se não, avalie cada pacote potencial pela força da sua comunidade, se está a ser mantido ativamente (particularmente para vulnerabilidades de segurança), e se foi um vetor de ataques no passado.

Nem todo o trabalho de gestão de dependências deve ser manual. A gestão de dependências de código aberto também deve ser integrada no seu pipeline de CI/CD para que possa detetar instantaneamente vulnerabilidades de pacotes recentemente adoptados o mais rapidamente possível. Certifique-se de que esses artefactos de compilação também são armazenados de forma segura, uma vez que manter um inventário das suas dependências e licenças ao longo do tempo pode facilitar drasticamente o seu trabalho de conformidade.

Finalmente, mantenha as suas dependências actualizadas regularmente utilizando os comandos de atualização.

Comece a analisar as suas dependências de código aberto gratuitamente

Conecte sua plataforma Git ao Aikido para começar a encontrar vulnerabilidades em toda a sua cadeia de suprimentos de código aberto com triagem instantânea, priorização inteligente e contexto preciso para correção rápida.

Analise os seus repositórios e contentores gratuitamente

Primeiros resultados em 60 segundos com acesso só de leitura.

SOC2 Tipo 2 e

Certificação ISO27001:2022