Команда GitLab знову перевірила рівень безпеки у репозиторіях користувачів. Перший раз це робили у квітні, а зараз опублікували звіт за серпень: виявилось, що вразливостей і досі багато.
Аналіз показав, що дедалі більше користувачів інтегрують бібліотеки з небезпечним кодом. Кількість таких проєктів помітно зросла протягом останнього року — з 26% до 69%. Тож оновлення залежних бібліотек має бути пріоритетним, вважають у GitLab.
Також компанія навела список вразливих бібліотек, які використовують найчастіше (дані за серпень):
- Lodash;
- Execa;
- Kind-of;
- Mixin-deep;
- Sockjs;
- Ajv;
- Minimist;
- JQuery;
- Yargs-parser;
- Dot-prop.
Видання The Register зазначає, що і Lodash, і JQuery відомі як джерела проблем з безпекою, вони обидві повсюдно використовуються і давно не оновлювались. До речі, усі бібліотеки зі списку поширювались через екосистему npm.
Також багато проєктів використовують контейнери з вразливостями, які виявили ще кілька років тому. Відсоток проєктів, які це знаходять помилки через статичне сканування, майже не змінився: було 49%, стало 52%. Про інші результати цієї перевірки можна дізнатися у звіті GitLab.
Ще немає коментарів