Advarer: 9 av 10 bruker jQuery, og de fleste eldgamle versjoner

En undersøkelse viser at nesten 9 av 10 nettsider fortsatt bruker JQuery, men de fleste er elendige på å oppdatere.

Mange nettsider bruker fortsatt JQuery, men har ikke oppdatert. 📸: Kurt Lekanger
Mange nettsider bruker fortsatt JQuery, men har ikke oppdatert. 📸: Kurt Lekanger Vis mer

Trodde du JQuery var død?

Langt ifra! En OpenJS Foundation-sponset undersøkelse fra analyseselskapet IDC viser nemlig at hele 89 prosent av de spurte fortsatt har JQuery på nettsidene sine. Det skriver DevClass.

I undersøkelsen, som er gjennomført blant 500 bedrifter i Nord-Amerika og Europa, går det også frem at kun 44 prosent av de som bruker JQuery bruker de nyeste versjonene.

Resten bruker gamle versjoner som ikke lenger vedlikeholdes og får oppdateringer.

Bare 44 prosent bruker en versjon av JQuery som fortsatt supporteres. 📸: IDC / OpenJS Foundation
Bare 44 prosent bruker en versjon av JQuery som fortsatt supporteres. 📸: IDC / OpenJS Foundation Vis mer

– Det er et stort problem når trekvart milliarder nettsider trenger en oppgradering bare av ett åpen kildekode-prosjekt, sier Robin Bender Ginn, sjef for OpenJS Foundation.

Han tror dette kan være et tegn på at mange bedrifter også bruker andre utdaterte og ikke-supporterte teknologier som kan utgjøre en sikkerhetsrisiko for kundene.

Utvikleres ansvar

Gamle versjoner av JQuery utgjør ikke et veldig stort sikkerhetsproblem, ifølge DevClass, som siterer en sårbarhetsoversikt fra Snyk. Selv om det riktignok finnes noen sårbarheter relatert til cross-site-scripting (XSS).

IDC hevder imidlertid at gammel JQuery kan utgjøre et sikkerhetsproblem, og at det er ekstra alvorlig ettersom hele 80 prosent av de spurte bedriftene oppgir at de samler inn personidentifiserbar informasjon (PII) via nettsidene.

– For bedrifter som bruker versjoner av JQuery som er før versjon 3.6.0, kan denne datainnsamlingen innebære en potensiell risiko, siden feilhåndtering av PII potensielt kan føre til at man ikke overholder regulatoriske krav, skriver IDCs Al Gillen i en bloggpost.

OpenJS Foundation mener det å holde pakker oppdatert er viktig for å øke sikkerheten.

– Det er bedriftseiernes og utviklernes ansvar å gjøre nettsidene sikre, skriver OpenJS Foundation.

«Det er bedriftseiernes og utviklernes ansvar å gjøre nettsidene sikre.»

Ikke alltid lett å gjøre i praksis

Selv om de fleste utviklere nok er klar over at det er viktig å holde alle avhengighetene i kodebasen oppdatert for å minimere risikoen for sårbarheter, er det ikke sikkert det alltid er så lett i virkeligheten, påpeker DevClass.

Ofte er slike biblioteker og avhengigheter en del av andre pakker eller brukes i ulike biblioteker eller rammeverk. Dermed er det ikke alltid man har kontroll over alt selv.

– Det er selvfølgelig risiko assosiert med bruk av all programvare som ikke lenger vedlikeholdes, og det gjelder ikke bare åpen kildekode. Det samme gjelder bruk av proprietær programvare som ikke lenger støttes, patches og oppdateres, sier Al Gillen i IDC.