Число уязвимостей в ПО с открытым исходным кодом выросло за год на 50%

Компания WhiteSource опубликовала отчет, подводящий итоги 2019 года. Из документа следует, что число выявленных уязвимостей в программном обеспечении с открытым исходным кодом выросло за год сразу на в полтора раза: свыше 6000 в 2019 против немногим более 4000 в 2018. И, как ни странно, рост на 50% стоит считать скорее хорошим показателем: по мнению экспертов WhiteSource, он свидетельствует в первую очередь о том, что исследователи стали уделять больше внимания поиску уязвимостей в открытом ПО. Иными словами, уязвимостей вряд ли стало намного больше, просто «охотники» за ними стали работать более эффективно. Это связано как с более широким распространением программ с открытым исходным кодом, так и с развитием проектов премирования исследователей за найденные уязвимости.

Еще одним позитивным моментом следует признать то, что в 85% случаев информация об уязвимости появляется вместе с обновлениями, которые ее ликвидируют. Но отчет, естественно, не обходится и без констатации проблем. Одна из главных состоит в том, что в Национальную базу данных уязвимостей США (National Vulnerability Database – NVD) попадает лишь информация о примерно 84% всех уязвимостей, выявленных в ПО с открытым исходным кодом. А NVD является по умолчанию одним из главных источников информации об уязвимостях. И отсутствие в ней данных о той или иной проблеме может серьезно замедлять создание исправлений и ставить под угрозу значительное число пользователей. Если говорить о языках программирования, то чаще всего уязвимости обнаруживаются в ПО, написанном на языке С – в 2019 году на его долю пришлось 30% всех выявленных уязвимостей. При этом годом ранее эта доля составляла и вовсе 47%. Такой спад свидетельствует об утрате популярности самого языка С. Вслед за ним в «рейтинге» следуют языки PHP (27% от всех выявленных уязвимостей) и Java (15%).


Источник:  The Register

Возврат к списку