Sonatype: Программные приложения в среднем подвержены 24 опасным уязвимостям

image

Теги: уязвимость, Sonatype, приложение, безопасность хранилищ данных

В 2014 году производители ПО загрузили 240,757 тыс. программных компонентов из одного из крупнейших публичных хранилищ.

Многие производители ПО выпускают приложения со слабой защитой безопасности, что связано с часто бесконтрольным использованием компонентов с открытым исходным кодом. Большинство разработчиков из-за плохого учета даже не смогут сказать в каких именно приложениях присутствуют данные компоненты, сообщает издание Network World со ссылкой на отчет компании Sonatype.

В 2014 году крупные финансовые компании и производители ПО загрузили 240,757 тыс. компонентов из одного из крупнейших публичных хранилищ с элементами Java с открытым исходным кодом. Более 15 тысяч или 7,5% содержали опасные уязвимости, сообщает оператор хранилища компания Sonatype. 

Sonatype занимается размещением компонентов в хранилище, которое известно как Центральное Хранилище (Central Repository), однако компания не проверяет, что именно загружается и выгружается из ЦХ. Ответственность за качество продукции лежит на самих разработчиках. Центральное Хранилище является хранилищем по умолчанию для Apache Maven, SBT и других Java-инструментов конфигурации ПО. 

29 крупнейших финансовых и технологических компаний в среднем используют 27 различных версий каждого компонента, это означает, что большинство предприятий в разработках своих приложений обращаются к устаревшим, менее функциональным и потенциально уязвимым версиям, сообщает Sonatype. 

В целом в 2014 году Центральным Хранилищем пользовалось 100 тысяч компаний, в среднем в прошлом году было совершено около 17,2 миллиарда загрузок. В ЦК хранятся 217 тысяч компонентов и 830 тысяч их различных версий. С помощью компонентов из ЦХ было разработано более 1,5 тысячи приложений, каждое из которых содержит в среднем 24 опасных или критических уязвимости.
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.