Sebuah proyek open source terkemuka mendapat kecaman karena mengeluarkan nasihat keamanan yang menyesatkan yang mungkin telah menempatkan pelanggan perangkat lunaknya pada risiko yang tidak perlu.
Vendor keamanan Synopsys menganalisis 115 rilis terpisah untuk kerangka kerja aplikasi web Apache Struts dan mencocokkannya dengan saran yang relevan dari proyek open source.
Secara total, 24 dari 57 penasihat keamanan Apache Struts - hampir setengah membuat kesalahan ketika mendaftar versi kerangka kerja yang dipengaruhi oleh kerentanan.
Faktanya, 61 versi tambahan dari Apache Struts dipengaruhi oleh setidaknya satu kerentanan yang diungkapkan sebelumnya, yang berpotensi mengekspos pengguna untuk menyerang.
"Sementara temuan kami termasuk identifikasi versi yang secara salah dilaporkan berdampak pada pengungkapan asli, risiko nyata bagi konsumen suatu komponen adalah ketika versi rentan dilewatkan dalam penilaian awal," bantah Synopsys.
“Mengingat bahwa tim pengembangan sering menyimpan versi komponen yang 'dikenal baik' dalam upaya untuk memastikan kompilasi bebas kesalahan, pelaporan versi yang terkena dampak yang kurang dapat berdampak abadi pada keamanan produk secara keseluruhan."
Di sisi positifnya, tim Apache Software Foundation dan Apache Struts dipuji atas "ketekunan" mereka dalam berkolaborasi dengan Synopsys untuk memperbaiki kesalahan. Halaman Apache Struts Security Advisories yang diperbarui diterbitkan awal minggu ini.
Apache Struts akan dikenal banyak orang sebagai kerangka kerja aplikasi web yang Equifax gagal untuk tambal kembali pada tahun 2017, yang mengarah ke pelanggaran besar informasi pribadi dan keuangan pada lebih dari setengah dari semua orang Amerika dan jutaan konsumen Inggris.
Insiden itu telah membebani lembaga kredit lebih dari $ 1 miliar , serta pekerjaan CEO dan eksekutif senior lainnya.
Sumber Artikel : SCMagazine
