Контакты
Подписка
МЕНЮ
Контакты
Подписка

В пользовательских проектах на GitHub обнаружено 4 млн уязвимостей

В пользовательских проектах на GitHub обнаружено 4 млн уязвимостей

В пользовательских проектах на GitHub обнаружено 4 млн уязвимостей


23.03.2018



Администрация GitHub просканировала пользовательские проекты на предмет известных уязвимостей в библиотеках JavaScript и Ruby. В результате проверки было обнаружено более 4 млн уязвимостей.

 Массовый поиск уязвимостей начался после запуска инициативы в ноябре 2017 года, когда GitHub начал искать известные уязвимости в некоторых популярных библиотеках с открытым исходным кодом и уведомлять владельцев проектов о том, что они должны использовать обновленную версию.

 Сканер автоматически проверяет публичные репозитории GitHub на предмет известных уязвимых библиотек в RubyGems для Ruby и npm для JavaScript, однако он пока не охватывает все возможные уязвимые библиотеки.

 В 2018 году GitHub планирует расширить функционал своего сканера, позволив ему искать уязвимости в зависимостях Python.

 Опасность уязвимостей в программном обеспечении с открытым исходным кодом была наглядно продемонстрирована во время утечки данных бюро кредитных историй Equifax, затронувшей 100 млн пользователей.

 По словам представителей GitHub, им удалось обнаружить порядка 4 млн уязвимостей в более чем 500 тыс. репозиториев. Администрация сервиса направила соответствующие уведомления каждому из разработчиков проектов.

 GitHub проверяет публичные репозитории каждый раз, когда получает уведомление о недавно обнаруженных уязвимостях в зависимостях.

 Согласно данным сайта, около 30% уязвимостей исправляются через семь дней после отправки GitHub предупреждения безопасности. Еще 15% предупреждений игнорируются, а остальные 55% предупреждений относятся к уязвимостям в заброшенных репозиториях.

 

Securitylab