The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub добавил средства информирования об уязвимостях в репозиториях

17.11.2017 12:26

GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта о состоянии безопасности открытого кода, составленного с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаев выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек выявленные уязвимости так и не были устранены. Только в 16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.

  1. Главная ссылка к новости (https://github.com/blog/2470-i...)
  2. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  3. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  4. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  5. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  6. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47586-npm
Ключевые слова: npm, github, rubygems, pypi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 13:16, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась
     
     
  • 2.2, Аноним (-), 13:38, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а гемзы это какая помойка? а пупи? а мавен?
     
     
  • 3.3, Борщдрайвен бигдата (?), 13:44, 17/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    MVN не помойка, а палеонтологический музей.
    Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.
     

  • 1.11, бедный буратино (ok), 16:29, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.
     
  • 1.12, Аноним (-), 23:46, 17/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а для питона и пыхи как не было, так и нет.
     
  • 1.13, qsdg (ok), 05:08, 18/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру