Дослідницький центр кібербезпеки Synopsys опублікував дослідження про 1253 комерційні кодові бази. Виявилось, що 99% таких застосунків мають хоча б один елемент з відкритим вихідним кодом. Окрім цього, 70% коду в проаналізованих репозиторіях є відкритим (у 2015 році йшлося про 36%).
У 91% кодових баз використовується сторонній відкритий код, який не оновлювався роками або взагалі не супроводжується. Тож в застосунках є проблеми з безпекою: 75% відкритого коду в репозиторіях містять відомі вразливості, значна кількість яких вважається критично небезпечними.
Найбільш поширеною з них є проблема CVE-2018-16487, яка дозволяє дистанційне виконання коду. Вона розташована в JavaScript-бібліотеці Lodash. Також дослідники знайшли в репозиторіях вразливість CVE-1999-0061, яку виправили ще у 1999 році.
Загалом знайшлось 124 компоненти з відкритим кодом, які використовуються в усіх кодових базах. Найбільш поширені з них:
- jQuery — 55%;
- Bootstrap — 40%;
- Font Awesome — 31%;
- Lodash — 30%;
- jQuery UI — 29%.
Якщо говорити про мови програмування, то у проаналізованих проєктах найчастіше використовують:
- JavaScript — 74%;
- C++ — 57%;
- Shell — 54%;
- C — 50%;
- Python — 46%;
- Java — 40%;
- TypeScript — 36%;
- C# — 36%;
- Perl — 30%;
- Ruby — 25%.
Також у більшості (68%) кодових баз були проблеми з ліцензіями на компоненти з відкритим кодом, у 33% ліцензії не було взагалі. Цікаво, що кількість таких порушень змінювалась залежно від галузі. В категорії «Інтернет і мобільні застосунки» проблеми з ліцензіями були у 93%, а в галузі «VR, ігри, розваги та медіа» — у 59%.
Ще немає коментарів