Главная | Новости | Полезная информация | Документация | Школа | Файлы | Ссылки | Форум
 Текущая сборка
RusNuke Current
Web-SVN
SVN репозиторий
Bug Tracker

 Навигация
Главная
Новости
Обзоры
Информация
Документация
Вопросы и ответы
Каталог файлов
Каталог ссылок
Информация о проекте
Рассылка новостей
Контакт с автором
Наполнение сайта
Добавить статью
Добавить файл
Добавить ссылку

Наши услуги
Обменный пункт WM
Реклама на проекте
Платные услуги
Услуги хостинга

Отраслевые публикации
Статьи по отраслям

 Поиск по сайту


Google
Web nukefiles.ru


Копирование кода из Stack Overflow приводит к уязвимым заданиям GitHub

Среди тех, кто учится программировать, и некоторых более опытных разработчиков программного обеспечения, распространенной практикой является копирование и вставка фрагментов кода из Stack Overflow, форума вопросов и ответов для вопросов о проблемах кодирования.



Есть даже некая книга в стиле О'Рейли, «Копирование и вставка из Stack Overflow», чтобы подчеркнуть практику, которая оказывается не только ленивой, но и угрозой безопасности.

В исследовательском документе, представленном в службу допечатной подготовки ArXiv, шесть компьютерных ученых - Мортеза Верди, Ашкан Сами, Джафар Ахондали, Футсе Кхом, Гиас Уддин и Алиреза Карами Мотлаг говорят, что они просмотрели более 72 000 фрагментов кода C ++ в 1325 постах этого форума и обнаружили 69 уязвимых фрагментов 29 различных типов.

Это не так много в абсолютном выражении, но эти 69 уязвимых частей кода фигурируют в 2589 проектах GitHub. Исследователи говорят, что они уведомили авторов пострадавших проектов, и некоторые, но не все, решили исправить недостатки, которые состоят из известных CWE.

В телефонном интервью The Register Ашкан Сами, доцент кафедры информатики, инженерии и информационных технологий в Университете Шираз в Иране, сказал, что исследование представляет собой попытку взглянуть на то, как ошибочный код переносится из Stack Overflow в GitHub.

«По сути, мы пытались показать, что использование Stack Overflow без тщательного анализа может привести к потенциальной уязвимости в приложениях», - сказал Сами.

Исследование напоминает академическую статью 2017 года, в которой было найдено 1161 небезопасных фрагментов кода, размещенных на этом сайте, которые были скопированы и вставлены в 1,3 млн приложений Android, доступные в Google Play.

Исследователи решили сосредоточиться на C++, потому что он популярен, особенно для встроенных программ с ограниченными ресурсами и больших распределенных систем. Они утверждают, что уязвимости в таких системах могут оказать существенное влияние.

Наиболее часто встречающимися CWE были CWE-1006 (Плохая практика кодирования), CWE-754 (Неправильная проверка необычных или исключительных условий) и CWE-20 (Неправильная проверка ввода).

«Stack Overflow - это только вопросы и ответы на них, и часто, когда разработчики отвечают, они могут быть недостаточно обучены в вопросах безопасности или могут предположить, что те, кто задает вопросы, будут знать, что делать», - сказал Гиас Уддин, кандидат компьютерных наук из Университета Макгилла, который в настоящее время работает в сфере технологий. «Но это не очень хорошее предположение».

Сами высказал аналогичные чувства. «Люди, использующие Stack Overflow, не должны полностью доверять ему», - сказал он. «Программистам лучше сделать трудный путь и научиться безопасному кодированию».

Тем не менее, исследователи разработали расширение Chrome, чтобы помочь разработчикам более внимательно относиться к безопасности при копировании и вставке кода из Stack Overflow. Расширение проверяет скопированный код в базе данных CWE и выдает предупреждение, если фрагмент содержит ошибки. Уддин сказал, что планируется выпустить его после официального опубликования.



admin1 - 06/10/2019



Комментарии к статье
Вы не можете отправить комментарий анонимно, пожалуйста зарегистрируйтесь.


Смотреть фильмы боевики
Боевики, драмы, фантастика, комедии, мультфильмы и прочее
filmoserial.ru
directory
пїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ - пїЅпїЅпїЅпїЅпїЅпїЅ

 Авторизация
Логин
Пароль
Регистрация на сайте
Забыли свой пароль?

 Сейчас на сайте
Гостей: 6
Пользователей: 0
Всего: 6

 Наш опрос
Какой форум предпочитаете?

Invision Power Board
vBulletin
Phorum
MyBB
PunBB
Simple Machines Forum
phpBB
BBtoNuke



Результаты
Другие опросы

Ответов: 1339
Комментариев: 10

 Рассылка новостей
Подробнее...

 Реклама


Главная | Новости | Полезная информация | Документация | Школа | Файлы | Ссылки | Форум
Web site engine's code is Copyright © 2002 - 2021
Страница сгенерирована за 0.0206 с. Выполнено 17 запроса к базе данных за 0.0046 с.

Rambler's Top100 Рейтинг@Mail.ru liveinternet.ru: показано число просмотров и посетителей за 24 часа