Ocena problemów z utrzymaniem projektów open source i wykorzystaniem starych zależności

Sonatype, firma specjalizująca się w ochronie przed atakami manipulującymi podmianą komponentów oprogramowania i zależności (łańcuch dostaw), opublikowała wyniki badania (PDF, 62 strony) problemów z zależnościami i utrzymaniem otwartych projektów w językach Java, JavaScript, Python i .NET, przedstawionych w repozytoriach Maven Central, NPM, PyPl i Nuget. W ciągu roku odnotowano wzrost liczby projektów w monitorowanych otwartych ekosystemach średnio o 29%. Liczba pobrań pakietów z omawianych repozytoriów wzrosła o 2023% w 33 r., ale dla porównania w 2021 r. liczba pobrań wzrosła o 73%.

Aktywność szkodliwa w repozytoriach znacznie wzrosła: od początku roku wykryto 245 tysięcy złośliwych pakietów, a liczba zarejestrowanych ataków mających na celu zastąpienie zależności wzrosła dwukrotnie.


Ocena problemów z utrzymaniem projektów open source i wykorzystaniem starych zależności

Wiele projektów nadal korzysta z podatnych wersji, na przykład 23% pobrań pakietu Java Log4j nadal składa się z wersji z krytycznymi lukami w zabezpieczeniach naprawionymi w 2021 r. W repozytorium Maven Central około 12% wszystkich pobrań dotyczy komponentów ze znanymi lukami w zabezpieczeniach. Średnio we wszystkich repozytoriach udział pobrań starych wersji pakietów, które należą do ryzykownych kategorii (np. z niezałatanymi lukami w zabezpieczeniach) wynosi 20% (w 80% przypadków pobierana jest bieżąca wersja). W 96% przypadków pobrań komponentów z lukami w zabezpieczeniach można było uniknąć, wybierając wersje, w których problem został już naprawiony.

Istotnym problemem w utrzymaniu bezpieczeństwa jest również jakość utrzymania projektu. W ekosystemach dla języków Java i JavaScript jest to duży problem - w ciągu ostatniego roku co piąty projekt (18.6%) przedstawiony w Maven Central i NPM, a utrzymywany w poprzednim roku, został przerwany. Z 1.176 miliona przeanalizowanych projektów obecnych w repozytoriach Maven, NPM, PyPl i Nuget, tylko 11% (118 tysięcy) jest nadal aktywnie utrzymywanych.

W badaniu wzięło udział również 621 profesjonalnych programistów z różnych firm. 67% respondentów uważa, że ​​ich aplikacje nie korzystają z podatnych bibliotek, 10% spotkało się z incydentami bezpieczeństwa spowodowanymi lukami w zabezpieczeniach oprogramowania typu open source w ciągu ostatnich 12 miesięcy, a 20% nie ma pewności. 28% firm zidentyfikowało obecność podatnych komponentów w ciągu 1 dnia od ujawnienia informacji o podatności, 39% - od 1 do 7 dni, a 29% - ponad tydzień.

Źródło: opennet.ru

Kup niezawodny hosting dla stron z ochroną DDoS, serwery VPS VDS 🔥 Kup niezawodny hosting stron internetowych z ochroną DDoS, serwery VPS VDS | ProHoster