lunes, 7 de octubre de 2019

Copiar códigos de Stack Overflow genera proyectos vulnerables en GitHub

Es una práctica común entre los programadores: copiar y pegar fragmentos de código de la popular plataforma de preguntas y repuestas Stack Overflow, esto para resolver sus problemas de programación.



Pero resulta que este hábito vago corre un riesgo de alta seguridad. Un artículo titulado “An Empirical Study of C++ Vulnerabilities in Crowd-Sourced Code Examples,” afirma esta situación.

Los códigos copiados pueden generar serias vulnerabilidades.

Los autores del artículo revisaron más de 72,000 fragmentos de código C++ tomados de 1,325 publicaciones de Stack Overflow. Encontraron 69 fragmentos vulnerables de 29 tipos diferentes de ataque.
copiar codigo stack overflow

Si bien este número puede no parecer mucho teniendo en cuenta la gran cantidad de proyectos de GitHub, esos 69 fragmentos vulnerables aparecieron en 2,589 repositorios de GitHub, lo cual es preocupante.

No a todos les importa

A pesar de que los investigadores asumieron la responsabilidad de notificar a los autores de los proyectos afectados de GitHub, solo algunos optaron por corregir las vulnerabilidades que consistían en CWE (enumeración de debilidad común) conocida.

La investigación tuvo como objetivo describir cómo el código con errores encuentra su camino desde Stack Overflow a GitHub, y el uso de códigos sin revisarlo cuidadosamente puede generar vulnerabilidades potenciales en el software.

Para este estudio, el equipo decidió centrarse en proyectos basados ​​en C++. La mayoría de las CWE encontrados con frecuencia fueron CWE-20 (Validación de entrada incorrecta), CWE-754 (Verificación incorrecta de condiciones inusuales o excepcionales) y CWE-1006 (Prácticas de programación incorrecta). 

Uso incorrecto de la plataforma

Stack Overflow se trata principalmente de preguntas y respuestas. Varios desarrolladores que envían fragmentos de código como una solución pueden no tener una buena comprensión de la seguridad del código.

Por lo tanto, no es aconsejable utilizar dichos códigos bajo esta suposición. Es mejor para los programadores si lo aprenden de la manera difícil y adoptan prácticas de programación seguras.

Solución para usar los códigos de Stack Overflow de forma segura

Renunciar a Stack Overflow no es tan simple para muchos desarrolladores, por lo que los investigadores han desarrollado una extensión de Chrome que puede ayudar a determinar la seguridad del código.

Al instalar la extensión, comprueba el código copiado en la base de datos CWE y alerta al programador si el fragmento de código tiene vulnerabilidades conocidas.

Los desarrolladores de la extensión planean lanzarla pronto. Te informaremos tan pronto como eso suceda. Mientras tanto, ¡Cuidado con lo que copias!

¿Qué opinas sobre este estudio? Si eres programador, ¿Alguna vez has copiado código de Stack Overflow? Por favor comparte el post en las redes sociales.


Fuente: Fossbytes

No hay comentarios.:

Publicar un comentario

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.