Главная / О компании / Новости / Отчет «The State of Open Source Security Vulnerabilities 2020»

Новости

« Назад

Отчет «The State of Open Source Security Vulnerabilities 2020»  31.03.2020 15:11

Open source сегодня – это строительные блоки, позволяющие быстро разрабатывать качественные приложения, поэтому компоненты с открытым исходным кодом активно используются разработчиками. Один из критериев качества приложения является его безопасность. Компания WhiteSource в середине марта опубликовала ежегодный отчет «The State of Open Source Security Vulnerabilities 2020», подготовленный на основе опроса 650 разработчиков и собранных данных из NVD, советов по безопасности, систем отслеживания ошибок, баз уязвимостей сообществ.

Согласно отчету в 2019 году значительно выросло число обнаруженных уязвимостей.

Open Source Security Vulnerabilities per Year

Источник – отчет The State of Open Source Security Vulnerabilities 2020

 

Причиной такого взрывного роста авторы отчета считают более широкое использование open source компонентов, расширение сообщества open source и повышение внимания сообщества к кибербезопасности.

Исследователи отмечают, что 85% обнаруженных уязвимостей уже имеют исправления, и это хорошая новость. Плохая новость заключается в том, что информация об уязвимостях разбросана среди сотен слабо индексируемых источников.

Наибольшее число уязвимых компонентов было написано на языке С, что объясняется огромным числом проектов на этом языке.

Open Source Vulnerabilities per Language, 2019 vs. 2009-2018

Источник – отчет The State of Open Source Security Vulnerabilities 2020

 

В пятерку наиболее популярных уязвимостей вошли CWE-79 (Cross-site scripting), CWE-20 (Improper Input Validation), CWE-119 (Buffer Errors), CWE-125 (Out-of-bound read), CWE-200 (Information disclosure). По мнению авторов отчета, наиболее распространенные уязвимости связаны с простыми ошибками в коде, которых можно было бы избежать.

Особое внимание в отчете уделяется системе оценки уязвимостей (CVSS), которая менялась несколько раз, а вместе с ней и определение критических уязвимостей. Проанализировав критичность уязвимостей по годам согласно системам CVSS 3.Х, аналитики обнаружили, что более 55% уязвимостей в 2019 году относились к категориям «high severity» и «critical».

CVSS v3.x Severity Breakdown over time

Источник – отчет The State of Open Source Security Vulnerabilities 2020

 

Такой высокий процент уязвимостей, требующих немедленного исправления, ставит вопрос их приоритизации и оценки реального влияния уязвимых компонентов на безопасность проекта.

Отчет также содержит ссылки на примеры популярных open source проектов, в которых были обнаружены уязвимости в 2019 году.

Top Open Source Security

Источник – отчет The State of Open Source Security Vulnerabilities 2020

 

Ребята из WhiteSource проделали гигантскую работу при подготовке этого отчета, стремясь облегчить жизнь разработчикам. Но это не единственное, в чем они могут быть полезными. Самостоятельный поиск информации об уязвимых компонентах в разных источниках и приоритизация требуют значительных затрат, избежать которых можно с помощью решения от WhiteSource.

Подробнее о решении можно прочитать вот здесь (анг.) или здесь (рус.).

Источник ►