Главная / О компании / Новости / Отчет «The State of Open Source Security Vulnerabilities 2020»

Отчет «The State of Open Source Security Vulnerabilities 2020»

« Назад

Отчет «The State of Open Source Security Vulnerabilities 2020»  31.03.2020 00:00

Open source сегодня – это строительные блоки, позволяющие быстро разрабатывать качественные приложения, поэтому компоненты с открытым исходным кодом активно используются разработчиками. Один из критериев качества приложения является его безопасность. Компания WhiteSource в середине марта опубликовала ежегодный отчет «The State of Open Source Security Vulnerabilities 2020», подготовленный на основе опроса 650 разработчиков и собранных данных из NVD, советов по безопасности, систем отслеживания ошибок, баз уязвимостей сообществ.

Согласно отчету в 2019 году значительно выросло число обнаруженных уязвимостей.

543245

Источник – отчет The State of Open Source Security Vulnerabilities 2020

Причиной такого взрывного роста авторы отчета считают более широкое использование open source компонентов, расширение сообщества open source и повышение внимания сообщества к кибербезопасности.

Исследователи отмечают, что 85% обнаруженных уязвимостей уже имеют исправления, и это хорошая новость. Плохая новость заключается в том, что информация об уязвимостях разбросана среди сотен слабо индексируемых источников.

Наибольшее число уязвимых компонентов было написано на языке С, что объясняется огромным числом проектов на этом языке.  

465253

Источник – отчет The State of Open Source Security Vulnerabilities 2020

В пятерку наиболее популярных уязвимостей вошли CWE-79 (Cross-site scripting), CWE-20 (Improper Input Validation), CWE-119 (Buffer Errors), CWE-125 (Out-of-bound read), CWE-200 (Information disclosure). По мнению авторов отчета, наиболее распространенные уязвимости связаны с простыми ошибками в коде, которых можно было бы избежать.

Особое внимание в отчете уделяется системе оценки уязвимостей (CVSS), которая менялась несколько раз, а вместе с ней и определение критических уязвимостей. Проанализировав критичность уязвимостей по годам согласно системам CVSS 3.Х, аналитики обнаружили, что более 55% уязвимостей в 2019 году относились к категориям «high severity» и «critical».

6433454

Источник – отчет The State of Open Source Security Vulnerabilities 2020

Такой высокий процент уязвимостей, требующих немедленного исправления, ставит вопрос их приоритизации и оценки реального влияния уязвимых компонентов на безопасность проекта.

Отчет также содержит ссылки на примеры популярных open source проектов, в которых были обнаружены уязвимости в 2019 году.

354532

Источник – отчет The State of Open Source Security Vulnerabilities 2020

Ребята из WhiteSource проделали гигантскую работу при подготовке этого отчета, стремясь облегчить жизнь разработчикам. Но это не единственное, в чем они могут быть полезными. Самостоятельный поиск информации об уязвимых компонентах в разных источниках и приоритизация требуют значительных затрат, избежать которых можно с помощью решения от WhiteSource. Подробнее о решении можно прочитать вот здесь (анг.) или здесь (рус.).