Дослідження Linux Foundation про вразливості програмних компонентів

2 хв. читання

Опубліковане нове дослідження про вразливості найпоширеніших компонентів ПЗ, які мають відкритий код. Його підготували Linux Foundation й організації CII та LISH. Зазначається, що вільне та відкрите програмне забезпечення (FOSS) є у 80–90% будь-якого сучасного ПЗ. Тобто практично в будь-якій програмі є відкриті компоненти та, відповідно, їхні вразливості.

Для дослідження використали відкриті набори даних та інформацію від компаній, що займаються безпекою застосунків. Автори визначили 200 найбільш поширених проєктів з відкритим вихідним кодом. Йдеться не про великі розробки на кшталт Apache, MySQL чи Linux — а про маленькі програми, своєрідні будівельні блоки, на яких тримається застосунок.

Такі компоненти дуже поширені у JavaScript. Найперше, тому що вони маленькі (мають близько 100 рядків коду) і часто виконують лише одну функцію. У Python, наприклад, середній модуль у сховищі PyPI має понад 2200 рядків.

Найпоширеніші FOSS-програми у JavaScript:

  • Async;
  • Inherits;
  • Isarray;
  • Kind-of;
  • Lodash;
  • Minimist;
  • Natives;
  • Qs;
  • Readable-stream;
  • String_decoder.

Також зауважується, що найбільш активні розробники FOSS працюють у Microsoft, Google, IBM та Intel. Про тих, хто найбільше займається розвитком проєктів FOSS, мають підготувати окреме дослідження.

Складнощі з відстеженням і виправленням програм часто пов'язані з тим, що немає єдиного стандарту для назв компонентів. Розробники вважають це критичною проблемою.

Ще одне шкідливе і поширене явище, це залежність багатьох програм від одного облікового запису розробника. Це стосується 7 з 10 найбільш популярних пакетів ПЗ, які аналізували дослідники. Якщо акаунт зламають, це вплине на весь подальший ланцюжок програми.

Остання проблема — це поширення застарілого ПЗ. Постійно виходять нові версії програм, але на них переходять не всі розробники. Адже це додаткові зусилля, функціонал нової версії може не надто відрізнятися від старої, до того ж можуть виникати проблеми сумісності. Якщо ж старі версії не підтримувати або робити це погано, вони залишатимуться вразливими й ці пробіли в безпеці переходитимуть до похідних програм.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 5.1K
Приєднався: 9 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація