30.06.2020 Новости, Безопасность, Открытый код/Linux
Соотношения уязвимостей в прямых и непрямых зависимостях. Источник: Snyk
JavaScript, Ruby и Java — экосистемы с наибольшим количеством ошибок в непрямых зависимостях, говорится в исследовании «State of Open Source Security — 2020» занимающейся сканированием исходного кода на уязвимости компании Snyk, сообщает портал ZDNet. Подавляющее большинство уязвимостей, которые угрожают безопасности проектов Open Source, связаны с непрямыми зависимостями, а не с непосредственно загружаемыми компонентами. «Суммируя данные по всем экосистемам, мы обнаружили, что уязвимостей в непрямых зависимостях более чем в три раза больше, чем в прямых зависимостях», — сказала эксперт по вопросам безопасности приложений Snyk Алисса Миллер. В отчете рассматривается влияние уязвимостей на экосистемы JavaScript (npm), Ruby (RubyGems), Java (MavenCentral), PHP (Packagist) и Python (PyPI). По данным Snyk, 86% ошибок безопасности JavaScript, 81% — в Ruby и 74% — в Java затрагивают библиотеки, которые являются зависимостями основных компонентов, загруженных в проект. Исследователи утверждают, что компании, сканирующие свои основные зависимости на предмет проблем безопасности, но не полностью проверяющие дерево зависимостей, в конечном итоге рискуют выпустить продукты, обладающими уязвимостями и ошибками, что может привести к непредсказуемым последствиям. В то же время, если для JavaScript, Ruby и Java характерны ошибки безопасности в непрямых зависимостях, то для PHP и Python подавляющее большинство ошибок находятся в прямых зависимостях (первичных компонентах). Однако на то есть ...
читать далее.
