Скільки у пропрієтарному ПЗ вразливих компонентів з відкритим кодом

1 хв. читання

Дослідники з Osterman Research проаналізували, скільки вразливих компонентів з відкритим кодом використовується у комерційному ПЗ. Для цього автори розглянули 5 категорій програм:

  • браузери;
  • поштові сервіси;
  • клієнти для обміну файлами (наприклад, сховища у хмарі чи ПЗ для синхронізації);
  • програми для онлайн-конференцій;
  • месенджери.

Виявилось, що найбільше проблем з безпекою у програм для онлайн-конференцій та електронної пошти. Вони мають найвищий середній коефіцієнт вразливості.

Screenshot-3

Усі проаналізовані програми, крім трьох, мали принаймні одну критичну вразливість, яка оцінюється в максимальні 10 балів за шкалою CVSS (Common Vulnerability Scoring System). Зазначимо, що загальну кількість проаналізованих програм дослідники не вказують, але пишуть, що критичні вразливості є у 20 застосунках.

У середньому 30% компонентів з відкритим кодом мали хоча б одну невиправлену вразливість, про яку вже відомо (і їй присвоєно ідентифікатор CVE).

Найбільше вразливостей (75,8%) пов'язані з двома веріями відкритого компонента firefox (не з самим браузером). На другому місці — 16 версій openssl, на які припадає 9,6% проблем з безпекою.

Screenshot-26

Нагадаємо, на початку Google опублікував сервіс Open Source Vulnerabilities (OSV), у якому зібрана база даних вразливостей у проєктах з відкритим кодом. Його створили для того, щоб користувачам відкритого ПЗ було легше тяжко зіставити вразливості з CVE зі своїми версіями пакетів.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 1.6K
Приєднався: 1 рік тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід