Es
una práctica común entre los programadores: copiar y pegar fragmentos de código
de la popular plataforma de preguntas y repuestas Stack Overflow, esto para
resolver sus problemas
de programación.
Pero
resulta que este hábito vago corre un riesgo de alta seguridad. Un artículo titulado
“An Empirical Study of C++ Vulnerabilities
in Crowd-Sourced Code Examples,” afirma esta situación.
Los códigos copiados pueden generar serias vulnerabilidades
Los
autores del artículo revisaron más de 72,000 fragmentos de código C++ tomados
de 1,325 publicaciones de Stack Overflow. Encontraron 69 fragmentos vulnerables
de 29 tipos diferentes de ataque.
Si
bien este número puede no parecer mucho teniendo en cuenta la gran cantidad de
proyectos de GitHub, esos 69 fragmentos vulnerables aparecieron en 2,589
repositorios de GitHub, lo cual es preocupante.
No a todos les importa
A
pesar de que los investigadores asumieron la responsabilidad de notificar a los
autores de los proyectos afectados de GitHub, solo algunos optaron por corregir
las vulnerabilidades que consistían en CWE (enumeración de debilidad común)
conocida.
La
investigación tuvo como objetivo describir cómo el código con errores encuentra
su camino desde Stack Overflow a GitHub, y el uso de códigos sin revisarlo
cuidadosamente puede generar vulnerabilidades potenciales en el software.
Para
este estudio, el equipo decidió centrarse en proyectos basados en
C++. La mayoría de las CWE encontrados con frecuencia fueron CWE-20
(Validación de entrada incorrecta), CWE-754 (Verificación incorrecta de
condiciones inusuales o excepcionales) y CWE-1006 (Prácticas de programación
incorrecta).
Uso incorrecto de la plataforma
Stack
Overflow se trata principalmente de preguntas y respuestas. Varios
desarrolladores que envían fragmentos de código como una solución pueden no
tener una buena comprensión de la seguridad del código.
Por
lo tanto, no es aconsejable utilizar dichos códigos bajo esta
suposición. Es mejor para los programadores si lo aprenden de la manera
difícil y adoptan prácticas de programación seguras.
Solución para usar los códigos de Stack Overflow de forma segura
Renunciar
a Stack Overflow no es tan simple para muchos desarrolladores, por lo que los
investigadores han desarrollado una extensión de Chrome que puede ayudar a
determinar la seguridad del código.
Al instalar
la extensión, comprueba el código copiado en la base de datos CWE y alerta al
programador si el fragmento de código tiene vulnerabilidades conocidas.
Los
desarrolladores de la extensión planean lanzarla pronto. Te informaremos
tan pronto como eso suceda. Mientras tanto, ¡Cuidado con lo que copias!
¿Qué
opinas sobre este estudio? Si eres programador, ¿Alguna vez has copiado código de
Stack Overflow? Por favor comparte el post en las redes sociales.
Fuente: Fossbytes