В пользовательских проектах на GitHub обнаружено 4 млн уязвимостей

В пользовательских проектах на GitHub обнаружено 4 млн уязвимостей

Сайт призывает разработчиков исправлять известные уязвимости.

Администрация GitHub просканировала пользовательские проекты на предмет известных уязвимостей в библиотеках JavaScript и Ruby. В результате проверки было обнаружено более 4 млн уязвимостей.

Массовый поиск уязвимостей начался после запуска инициативы в ноябре 2017 года, когда GitHub начал искать известные уязвимости в некоторых популярных библиотеках с открытым исходным кодом и уведомлять владельцев проектов о том, что они должны использовать обновленную версию.

Сканер автоматически проверяет публичные репозитории GitHub на предмет известных уязвимых библиотек в RubyGems для Ruby и npm для JavaScript, однако он пока не охватывает все возможные уязвимые библиотеки.

В 2018 году GitHub планирует расширить функционал своего сканера, позволив ему искать уязвимости в зависимостях Python.

Опасность уязвимостей в программном обеспечении с открытым исходным кодом была наглядно продемонстрирована во время утечки данных бюро кредитных историй Equifax, затронувшей 100 млн пользователей.

По словам представителей GitHub, им удалось обнаружить порядка 4 млн уязвимостей в более чем 500 тыс. репозиториев. Администрация сервиса направила соответствующие уведомления каждому из разработчиков проектов.

GitHub проверяет публичные репозитории каждый раз, когда получает уведомление о недавно обнаруженных уязвимостях в зависимостях.

Согласно данным сайта, около 30% уязвимостей исправляются через семь дней после отправки GitHub предупреждения безопасности. Еще 15% предупреждений игнорируются, а остальные 55% предупреждений относятся к уязвимостям в заброшенных репозиториях.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!