Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 8/12/2015
Når udviklere kopierer programkode fra programmeringsbiblioteker i stedet for at henvise til dem, risikerer de at gå glip af sikkerhedsrettelser. En nylig rettelse af en sårbarhed i biblioteket Handlebars mangler i 39 biblioteker, der bygger på det.Sikkerhedsforsker Vanessa Henderson fra SourceClear har analyseret fænomenet. Hun tog udgangspunkt i en sårbarhed i JavaScript-programmet Handlebars, hvor softwaren ikke håndterede nogle specialtegn korrekt.
Rettelsen kom i august 2015. Vanessa Henderson har nu søgt efter den tilsvarende programkode i open source-projekter.
Her fandt hun frem til 39 projekter, hvor koden ikke var rettet. Det tyder på, at koden er klippe-klistret fra Handlebars-projektet.
Anbefaling
Udviklere skal følge med i sikkerhedsrettelser til de biblioteker, de bygger deres kode på. Versionsstyring kan hjælpe.