ГлавнаябезопасностьБолее 75% уязвимостей находятся во вторичных компонентах

Более 75% уязвимостей находятся во вторичных компонентах

Подавляющее большинство уязвимостей в проектах с открытым исходным кодом связаны с дополнительными компонентами, а не с основными.

«Собирая данные по всем экосистемам, мы обнаружили более чем в три раза больше уязвимостей во вторичных компонентах, чем в основных», - сказала Алисса Милле из Slyk в интервью, обсуждая ситуацию с безопасностью компании.

В докладе рассматривалось влияние уязвимостей на экосистемы JavaScript (npm), Ruby (RubyGems), Java (MavenCentral), PHP (Packagist) и Python (PyPI).

Snyk сообщил, что 86% ошибок безопасности JavaScript, 81% ошибок Ruby и 74% Java повлияли на библиотеки, которые зависели от основных компонентов, загруженных в один проект.

Снык утверждает, что компании которые сканируют свои базовые компоненты на предмет проблем безопасности без расследования, и другие компоненты в конечном итоге будут запускать продукты, которые уязвимы для непредвиденных ошибок.

Но в то время как ошибки безопасности были распространены в JavaScriptRuby и Java отсутствовали в PHP и Python, где подавляющее большинство ошибок были в непосредственных зависимостях (первичных компонентах). Однако для этого есть причина.

«Я искренне верю, что это больше касается подхода к развитию самих экосистем», - сказал Миллер ZDNet.

В частности, проекты Java и Node.js, похоже, используют преимущества зависимостей «намного тяжелее», чем другие экосистемы. В частности, с учетом огромного размера экосистемы Node.js пакеты, которые создают или используют ключевые функции из других пакетов, являются почти нормой.

 Эта «иностранная опасность», как мы ее называем, лежит в основе некоторых громких нарушений и основной причины. сложность с точки зрения безопасности цепочки поставок программного обеспечения ", сказал Миллер.

компоненты

Некоторые ошибки оказали большое влияние

Но команда Сныка не просто смотрела на их позицию ошибки в экосистеме с открытым исходным кодом, но и какие ошибки это было.

Еще одним интересным открытием является то, что большинство новых уязвимостей безопасности, обнаруженных в 2019 году, были ошибками обнаружения. сценариев (XSS), но, несмотря на их большое количество, они затронули лишь небольшую часть реального проекта.

Вместо этого две дюжины прототипов ошибок загрязнения оказали наибольшее влияние из всех ошибок, обнаруженных в прошлом году, затронув более 115.000 XNUMX различных проектов с открытым исходным кодом. коди, возможно, даже более приватным.

Из них ошибки «прототипного загрязнения» в jQuery и LoDash оказали наибольшее влияние, поскольку эти кадры являются одними из наиболее широко используемых. инструменты Разработка JavaScript сегодня.

Однако команда Snyk указала в своем отчете на кое-что еще - что «вредоносные пакеты» были признаны вторым по распространенности типом проблемы безопасности, обнаруженной ими в прошлом году в проекте.

По словам Сныка, в прошлом году нарушенные или вредоносные пакеты были вторым наиболее распространенным источником проблем безопасности для экосистем. с открытым исходным кодом.

«Подавляющее большинство, более 87%, пришло из пакетов npm [JavaScript]», - сказал Миллер ZDNet.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ