Дослідники з Osterman Research проаналізували, скільки вразливих компонентів з відкритим кодом використовується у комерційному ПЗ. Для цього автори розглянули 5 категорій програм:
- браузери;
- поштові сервіси;
- клієнти для обміну файлами (наприклад, сховища у хмарі чи ПЗ для синхронізації);
- програми для онлайн-конференцій;
- месенджери.
Виявилось, що найбільше проблем з безпекою у програм для онлайн-конференцій та електронної пошти. Вони мають найвищий середній коефіцієнт вразливості.
Усі проаналізовані програми, крім трьох, мали принаймні одну критичну вразливість, яка оцінюється в максимальні 10 балів за шкалою CVSS (Common Vulnerability Scoring System). Зазначимо, що загальну кількість проаналізованих програм дослідники не вказують, але пишуть, що критичні вразливості є у 20 застосунках.
У середньому 30% компонентів з відкритим кодом мали хоча б одну невиправлену вразливість, про яку вже відомо (і їй присвоєно ідентифікатор CVE).
Найбільше вразливостей (75,8%) пов'язані з двома веріями відкритого компонента firefox (не з самим браузером). На другому місці — 16 версій openssl, на які припадає 9,6% проблем з безпекою.
Нагадаємо, на початку Google опублікував сервіс Open Source Vulnerabilities (OSV), у якому зібрана база даних вразливостей у проєктах з відкритим кодом. Його створили для того, щоб користувачам відкритого ПЗ було легше тяжко зіставити вразливості з CVE зі своїми версіями пакетів.
Ще немає коментарів