En esta iteración de la lista de las 10 principales vulnerabilidades de seguridad de la aplicación de OWASP ( enlace ), una nueva categoría 'A9 Uso de componentes con vulnerabilidades conocidas' se ha introducido. Esto parece requerir la investigación de todas las bibliotecas y el código importado en cualquier aplicación para garantizar el cumplimiento.
Tengo varios clientes que, debido a sus requisitos de auditoría PCI-DSS, usan el top 10 de OWASP para garantizar la seguridad de sus propias plataformas de software para aquellas partes de su base de código escritas para procesar pagos con tarjeta de crédito. Con este nuevo conjunto de requisitos, parece que tendrían que encontrar / listar todas sus bibliotecas importadas (módulos Perl de CPAN en una instancia, y Java libs en otra) y revisarlas línea por línea, probablemente un millón de líneas de El código de otra persona !.
¡Esto no puede ser práctico o, probablemente, muy útil! ¿Puede OWASP sugerir seriamente que las organizaciones que escriben sus propias aplicaciones, importando bibliotecas comunes, deben revisar todos los códigos de bibliotecas de terceros?
¿Alguien más se ha topado con este problema y cómo crees que puedo lidiar con esto?