Open source сегодня – это строительные блоки, позволяющие быстро разрабатывать качественные приложения, поэтому компоненты с открытым исходным кодом активно используются разработчиками. Один из критериев качества приложения является его безопасность. Компания WhiteSource в середине марта опубликовала ежегодный отчет «The State of Open Source Security Vulnerabilities 2020», подготовленный на основе опроса 650 разработчиков и собранных данных из NVD, советов по безопасности, систем отслеживания ошибок, баз уязвимостей сообществ.
Согласно отчету в 2019 году значительно выросло число обнаруженных уязвимостей.
Источник – отчет The State of Open Source Security Vulnerabilities 2020
Причиной такого взрывного роста авторы отчета считают более широкое использование open source компонентов, расширение сообщества open source и повышение внимания сообщества к кибербезопасности.
Исследователи отмечают, что 85% обнаруженных уязвимостей уже имеют исправления, и это хорошая новость. Плохая новость заключается в том, что информация об уязвимостях разбросана среди сотен слабо индексируемых источников.
Наибольшее число уязвимых компонентов было написано на языке С, что объясняется огромным числом проектов на этом языке.
Источник – отчет The State of Open Source Security Vulnerabilities 2020
В пятерку наиболее популярных уязвимостей вошли CWE-79 (Cross-site scripting), CWE-20 (Improper Input Validation), CWE-119 (Buffer Errors), CWE-125 (Out-of-bound read), CWE-200 (Information disclosure). По мнению авторов отчета, наиболее распространенные уязвимости связаны с простыми ошибками в коде, которых можно было бы избежать.
Особое внимание в отчете уделяется системе оценки уязвимостей (CVSS), которая менялась несколько раз, а вместе с ней и определение критических уязвимостей. Проанализировав критичность уязвимостей по годам согласно системам CVSS 3.Х, аналитики обнаружили, что более 55% уязвимостей в 2019 году относились к категориям «high severity» и «critical».
Источник – отчет The State of Open Source Security Vulnerabilities 2020
Такой высокий процент уязвимостей, требующих немедленного исправления, ставит вопрос их приоритизации и оценки реального влияния уязвимых компонентов на безопасность проекта.
Отчет также содержит ссылки на примеры популярных open source проектов, в которых были обнаружены уязвимости в 2019 году.
Источник – отчет The State of Open Source Security Vulnerabilities 2020
Ребята из WhiteSource проделали гигантскую работу при подготовке этого отчета, стремясь облегчить жизнь разработчикам. Но это не единственное, в чем они могут быть полезными. Самостоятельный поиск информации об уязвимых компонентах в разных источниках и приоритизация требуют значительных затрат, избежать которых можно с помощью решения от WhiteSource. Подробнее о решении можно прочитать вот здесь (анг.) или здесь (рус.).