Sonatype, программалык камсыздоонун компоненттерин жана көз карандылыкты (жеткизүү чынжыры) алмаштырууну кол салуулардан коргоого адистешкен компания, Java тилдеринде көз карандылык жана ачык булак долбоорлорун тейлөө менен байланышкан көйгөйлөрдү изилдөөнүн (PDF, 62 бет) жыйынтыктарын жарыялады. , JavaScript, Python жана .NET, Maven Central, NPM, PyPl жана Nuget репозиторийлеринде берилген. Жыл ичинде мониторингге алынган ачык экосистемаларда долбоорлордун саны орто эсеп менен 29%га өстү. Каралып жаткан репозиторийлерден топтомдорду жүктөөлөрдүн саны 2023-жылы 33% га өскөн, бирок салыштыруу үчүн, 2021-жылы жүктөлүп алынгандардын саны 73% га өскөн.
Репозиторийлердеги зыяндуу аракеттер кыйла өстү – жыл башынан бери 245 миң зыяндуу пакет аныкталды жана көз карандылыкты алмаштырууга багытталган чабуулдардын катталган саны эки эсеге көбөйдү.
Көптөгөн долбоорлор аялуу версияларды колдонууну улантууда, мисалы, Log23j Java пакетин жүктөөлөрдүн 4% дагы эле 2021-жылы оңдолгон олуттуу кемчиликтери бар версиялар. Maven Борбордук репозиторийинде бардык жүктөөлөрдүн 12%га жакыны белгилүү кемчиликтерди камтыган компоненттерге туура келет. Орточо алганда, бардык репозиторийлер үчүн кооптуу деп классификацияланган пакеттердин эски версияларын жүктөөнүн үлүшү (мисалы, жаңыланбаган кемчиликтери бар) 20% түзөт (80% учурда учурдагы версия жүктөлөт). 96% учурларда, көйгөйдү чечкен версияларды тандоо менен, кемчиликтери бар компоненттерди жүктөөдөн качууга болот.
Долбоорду колдоонун сапаты да коопсуздукту сактоодогу олуттуу көйгөй болуп саналат. Java жана JavaScript экосистемаларында бул чоң көйгөй - өткөн жылы Maven Central жана NPMге берилген жана мурунку жылы сакталган ар бир бешинчи долбоор (18.6%) токтотулган. Maven, NPM, PyPl жана Nuget репозиторийлериндеги 1.176 миллион талданган долбоорлордун 11%ы (118 миң) гана жигердүү колдоого алынууда.
Изилдөө ошондой эле ар кандай компаниялардын 621 кесипкөй иштеп чыгуучуларын сурамжылоону камтыган. Респонденттердин 67% алардын тиркемелери аялуу китепканаларды колдонбойт деп эсептешет, 10%ы акыркы 12 айда ачык программалык камсыздоонун алсыздыктарынан улам келип чыккан коопсуздук инциденттерине туш болушкан жана 20%ы бир чечимге келе элек. Компаниялардын 28% аялуу компоненттердин бар экендигин ачыкка чыккандан кийин 1 күндүн ичинде аныктайт, 39% - 1 күндөн 7 күнгө чейин жана 29% - бир жумадан ашык.
Source: opennet.ru
