На обнаружение уязвимостей в ПО с открытым исходным кодом уходит более четырех лет
Уязвимости в программном обеспечении с открытым исходным кодом могут оставаться незамеченными течение более четырех лет, прежде чем будут обнаружены. Согласно ежегодному отчету GitHub State of the Octoverse, использование проектов, компонентов и библиотек с открытым исходным кодом стало более распространенным, чем когда-либо.
В 2020 году эксперты GitHub насчитали более 56 млн разработчиков на платформе, более 60 млн новых репозиториев и более 1,9 млрд публикаций.
«Вам будет сложно найти сценарий, при котором ваши данные не проходят через хотя бы один компонент с открытым исходным кодом. Многие услуги и технологии, на которые мы все полагаемся, от банковского дела до здравоохранения, также полагаются на программное обеспечение с открытым исходным кодом. Артефакты открытого исходного кода служат важной инфраструктурой для большей части мировой экономики, делая безопасность программного обеспечения с открытым исходным кодом критически важной миссией для всего мира», — пояснили эксперты.
GitHub провел исследование состояния безопасности ПО с открытым исходным кодом, сравнивая информацию, собранную с помощью шести экосистем пакетов (Composer, Maven, npm, NuGet, PyPi и RubyGems), поддерживаемых на платформе с 1 октября 2019 года до 30 сентября 2020 года и с 1 октября 2018 года до 30 сентября 2019 года.
По сравнению с 2019 годом, 94% проектов теперь полагаются на компоненты с открытым исходным кодом. Чаще всего зависимости с открытым исходным кодом встречаются в JavaScript (94%), а также в Ruby и .NET (90% соответственно).
Обнаружение уязвимостей в программном обеспечении с открытым исходным кодом может занимать в среднем более четырех лет. После этого исправление обычно доступно чуть более чем через месяц. Однако большинство уязвимостей не являются вредоносными. В целом 17% уязвимостей считаются вредоносными, например бэкдоры, но о них сообщается только в 0,2% случаев, поскольку чаще всего они обнаруживаются в заброшенных или редко используемых пакетах.
Источник: securitylab.ru