In questa iterazione dell'elenco delle vulnerabilità di sicurezza delle applicazioni Top 10 OWASP ( link ), una nuova categoria È stato introdotto "A9 Utilizzo di componenti con vulnerabilità note". Ciò sembra richiedere l'analisi di tutte le librerie e il codice importato in qualsiasi applicazione per garantire la conformità.
Ho un certo numero di clienti che, a causa dei loro requisiti di controllo PCI-DSS, usano OWASP top 10 per garantire la sicurezza delle proprie piattaforme software per quelle parti della loro base di codice scritte per elaborare i pagamenti con carta di credito. Con questa nuova serie di requisiti sembrerebbe che dovrebbero trovare / elencare tutte le loro librerie importate (moduli Perl da CPAN in un'istanza e librerie Java in un'altra) e analizzarle riga per riga - probabilmente un milione di righe di il codice di qualcun altro !.
Questo non può essere pratico o, probabilmente, molto utile! OWASP può seriamente suggerire che le organizzazioni che scrivono le proprie applicazioni, importando le librerie comuni, devono rivedere tutto il codice della libreria di terze parti?
Qualcun altro ha riscontrato questo problema e come pensi che io possa affrontare questo problema?