Sonatype, et firma, der er specialiseret i beskyttelse mod angreb, der manipulerer substitution af softwarekomponenter og afhængigheder (forsyningskæde), offentliggjorde resultaterne af en undersøgelse (PDF, 62 sider) af problemer med afhængigheder og vedligeholdelse af open source-projekter på sprogene Java , JavaScript, Python og .NET, præsenteret i Maven Central, NPM, PyPl og Nuget repositories. I løbet af året var der en stigning i antallet af projekter i overvågede åbne økosystemer med i gennemsnit 29 %. Antallet af downloads af pakker fra de pågældende depoter voksede med 2023 % i 33, men til sammenligning steg antallet af downloads i 2021 med 73 %.
Ondsindet aktivitet i repositories er steget markant - siden begyndelsen af året er 245 tusinde ondsindede pakker blevet identificeret, og antallet af registrerede angreb med det formål at erstatte afhængigheder er fordoblet.
Mange projekter fortsætter med at bruge sårbare versioner, for eksempel er 23 % af Log4j Java-pakkedownloads stadig versioner med kritiske sårbarheder, som blev rettet i 2021. I Maven Central-depotet er omkring 12 % af alle downloads til komponenter, der indeholder kendte sårbarheder. I gennemsnit er andelen af downloads af gamle versioner af pakker klassificeret som risikable (for eksempel med uoprettede sårbarheder) for alle lagre 20 % (i 80 % af tilfældene downloades den aktuelle version). I 96 % af tilfældene kunne download af komponenter med sårbarheder have været undgået ved at vælge versioner, der allerede havde løst problemet.
Et væsentligt problem med at opretholde sikkerheden er også kvaliteten af projektstøtten. Dette er et stort problem i Java- og JavaScript-økosystemerne - i løbet af det seneste år er hvert femte projekt (18.6%), der er indsendt til Maven Central og NPM, og vedligeholdt i det foregående år, blevet afbrudt. Af de 1.176 millioner analyserede projekter, der er til stede i Maven, NPM, PyPl og Nuget repositories, er kun 11% (118 tusind) fortsat aktivt vedligeholdt.
Undersøgelsen omfattede også en undersøgelse af 621 professionelle udviklere fra forskellige virksomheder. 67 % af de adspurgte mener, at deres applikationer ikke bruger sårbare biblioteker, 10 % har oplevet sikkerhedshændelser forårsaget af sårbarheder i open source-software inden for de sidste 12 måneder, og 20 % er usikre. 28% af virksomhederne identificerer tilstedeværelsen af sårbare komponenter inden for 1 dag efter offentliggørelsen af sårbarheden, 39% - fra 1 til 7 dage, og 29% - mere end en uge.
Kilde: opennet.ru
