Група дослідників з Фінляндії проаналізувала усі Python-пакети у репозиторії PyPI, аби перевірити рівень безпеки та кількість потенційних вразливостей у коді. Загалом команда перевірила методом статичного аналізу понад 197 тисяч пакетів і виявила 749 986 проблем з безпекою.
У 46% Python-пакетів виявили щонайменше одне слабке місце — найчастіше це проблема з обробкою винятків чи ймовірне додавання стороннього коду.
У 54% пакетів проблем немає, та в середньому на кожен пакет припадає 3,8 потенційних вразливостей. Більшість з них мають низький рівень серйозності, однак в 11% пакетів були й критично важливі проблеми безпеки.
Водночас це дослідження не дає точних даних, а може лише показати певні тенденції.Аналіз проводився за допомогою інструменту Bandit, який не вміє враховувати контекст і тому показує хибнопозитивні результати. Тож дані отримані в такий спосіб потрібно додатково звіряти.
Ще немає коментарів