Copiar códigos de Stack Overflow genera proyectos vulnerables en GitHub


Es una práctica común entre los programadores: copiar y pegar fragmentos de código de la popular plataforma de preguntas y repuestas Stack Overflow, esto para resolver sus problemas de programación.


Pero resulta que este hábito vago corre un riesgo de alta seguridad. Un artículo titulado “An Empirical Study of C++ Vulnerabilities in Crowd-Sourced Code Examples,” afirma esta situación.


Los códigos copiados pueden generar serias vulnerabilidades.


Los autores del artículo revisaron más de 72,000 fragmentos de código C++ tomados de 1,325 publicaciones de Stack Overflow. Encontraron 69 fragmentos vulnerables de 29 tipos diferentes de ataque.


Si bien este número puede no parecer mucho teniendo en cuenta la gran cantidad de proyectos de GitHub, esos 69 fragmentos vulnerables aparecieron en 2,589 repositorios de GitHub, lo cual es preocupante.


No a todos les importa


A pesar de que los investigadores asumieron la responsabilidad de notificar a los autores de los proyectos afectados de GitHub, solo algunos optaron por corregir las vulnerabilidades que consistían en CWE (enumeración de debilidad común) conocida.


La investigación tuvo como objetivo describir cómo el código con errores encuentra su camino desde Stack Overflow a GitHub, y el uso de códigos sin revisarlo cuidadosamente puede generar vulnerabilidades potenciales en el software.


Para este estudio, el equipo decidió centrarse en proyectos basados ​​en C++. La mayoría de las CWE encontrados con frecuencia fueron CWE-20 (Validación de entrada incorrecta), CWE-754 (Verificación incorrecta de condiciones inusuales o excepcionales) y CWE-1006 (Prácticas de programación incorrecta).


Uso incorrecto de la plataforma


Stack Overflow se trata principalmente de preguntas y respuestas. Varios desarrolladores que envían fragmentos de código como una solución pueden no tener una buena comprensión de la seguridad del código.


Por lo tanto, no es aconsejable utilizar dichos códigos bajo esta suposición. Es mejor para los programadores si lo aprenden de la manera difícil y adoptan prácticas de programación seguras.


Solución para usar los códigos de Stack Overflow de forma segura


Renunciar a Stack Overflow no es tan simple para muchos desarrolladores, por lo que los investigadores han desarrollado una extensión de Chrome que puede ayudar a determinar la seguridad del código.


Al instalar la extensión, comprueba el código copiado en la base de datos CWE y alerta al programador si el fragmento de código tiene vulnerabilidades conocidas.


Los desarrolladores de la extensión planean lanzarla pronto. Te informaremos tan pronto como eso suceda. Mientras tanto ¡Cuidado con lo que copias!



Fuente: 100 Tips Informáticos


¿Estás buscando conocer más acerca de la programación web? En EducaciónIT tenemos una amplia variedad de cursos que se enfocan en brindarte la mejor capacitación en base a la Programación Web, entre los que encontrarás Introducción a la Programación en Javascript, PHP, Paradigma de Objetos, etc.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.