[Перевод] Копируешь код, копируешь уязвимости

Мы знаем, что Stack Overflow — это ежедневная часть жизни многих разработчиков (Результат опроса разработчиков на Stack Overflow 2020). Я слышал от многих людей, что они бывают тут ежедневно (если не чаще), чтобы получить ответы на свои вопросы. Иногда ответ на вопрос о коде приходит в виде фрагмента кода. И также этот код превращается в рабочее приложение, потому что он отлично подходит. Группа исследователей проанализировала эти фрагменты кода, чтобы выяснить, насколько они безопасны, и остались ли в проекте уязвимыми недостатки в системе безопасности, которые они внедрили. Ашкан Сами, доцент Ширасского университета, Футсе Хом, доцент Монреальского политехнического института, и Джас Уддин, сейчас старший специалист по работе с данными Банка Канады, исследовали фрагменты кода на языке C++ в Stack Overflow, чтобы ответить на этот вопрос. (Примечание редактора: ранее мы беседовали с Футсе Хомом и Джасом Уддином об их работе по сбору мнений из вопросов и комментариев Stack Overflow). Эти исследователи занимались этим вопросом (как разработчики используют Stack Overflow) параллельно, к моменту их встречи на конференции в Швеции в 2018 году. Футсе Хом изучал код Stack Overflow на предмет лицензирования, что заставило Ашкана Сами — эксперта по безопасности задуматься, нет ли в программе недостатков, которые могли бы привести к неблагоприятным последствиям тех, кто копирует код, а не только нарушениям авторских прав. Копирование кода само по себе не всегда плохо. Повторное использование кода может повысить эффективность разработки программного обеспечения; зачем решать проблему, которая уже хорошо решена? Но когда разработчики используют пример кода, не пытаясь понять его значение, тогда могут возникнуть проблемы.«Действительно ли их волнует тщательная проверка на наличие уязвимостей, или они все просто используют код с полки», — спросил Хом. «И если они это делают, делают ли это везде?» Читать дальше →

Источник: Хабрахабр