Опубліковане нове дослідження про вразливості найпоширеніших компонентів ПЗ, які мають відкритий код. Його підготували Linux Foundation й організації CII та LISH. Зазначається, що вільне та відкрите програмне забезпечення (FOSS) є у 80–90% будь-якого сучасного ПЗ. Тобто практично в будь-якій програмі є відкриті компоненти та, відповідно, їхні вразливості.
Для дослідження використали відкриті набори даних та інформацію від компаній, що займаються безпекою застосунків. Автори визначили 200 найбільш поширених проєктів з відкритим вихідним кодом. Йдеться не про великі розробки на кшталт Apache, MySQL чи Linux — а про маленькі програми, своєрідні будівельні блоки, на яких тримається застосунок.
Такі компоненти дуже поширені у JavaScript. Найперше, тому що вони маленькі (мають близько 100 рядків коду) і часто виконують лише одну функцію. У Python, наприклад, середній модуль у сховищі PyPI має понад 2200 рядків.
Найпоширеніші FOSS-програми у JavaScript:
- Async;
- Inherits;
- Isarray;
- Kind-of;
- Lodash;
- Minimist;
- Natives;
- Qs;
- Readable-stream;
- String_decoder.
Також зауважується, що найбільш активні розробники FOSS працюють у Microsoft, Google, IBM та Intel. Про тих, хто найбільше займається розвитком проєктів FOSS, мають підготувати окреме дослідження.
Складнощі з відстеженням і виправленням програм часто пов'язані з тим, що немає єдиного стандарту для назв компонентів. Розробники вважають це критичною проблемою.
Ще одне шкідливе і поширене явище, це залежність багатьох програм від одного облікового запису розробника. Це стосується 7 з 10 найбільш популярних пакетів ПЗ, які аналізували дослідники. Якщо акаунт зламають, це вплине на весь подальший ланцюжок програми.
Остання проблема — це поширення застарілого ПЗ. Постійно виходять нові версії програм, але на них переходять не всі розробники. Адже це додаткові зусилля, функціонал нової версії може не надто відрізнятися від старої, до того ж можуть виникати проблеми сумісності. Якщо ж старі версії не підтримувати або робити це погано, вони залишатимуться вразливими й ці пробіли в безпеці переходитимуть до похідних програм.
Ще немає коментарів