Молчание – не всегда золото: база данных PySecDB будет обнаруживать «тихие» исправления уязвимостей Python

Группа исследователей безопасности выявила, что многие исправления безопасности в языке программирования Python производятся «молча», без связанных с ними идентификаторов CVE.

Такая тенденция представляет опасность, поскольку злоумышленник может использовать нераскрытые ошибки в уязвимых системах. Если пакет Python содержит опасную уязвимость, которая не была опубликована под CVE, то разработчик приложения может не заметить её и не исправит ошибку. Киберпреступник может использовать ситуацию, эксплуатируя неопубликованные уязвимости.

Для решения проблемы исследователи представили базу данных исправлений безопасности под названием PySecDB , которая призвана повысить видимость важных изменений в коде Python для сообщества разработчиков.

PySecDB – первая в своем роде база данных, содержащая исправления безопасности для Python. В PySecDB насчитывается 1,258 исправлений безопасности и 2,791 исправлений, не связанных с безопасностью, из более чем 351 популярных проектов на GitHub, охватывающих 119 дополнительных CWE.

PySecDB также основана на ИИ-модели SCOPY, которая выявляет изменения кода, связанные с безопасностью, через последовательность и структуру семантики кода. Авторы подчеркивают, что SCOPY может идентифицировать исправления уязвимостей, которые не были официально обнародованы. Однако модель может помочь злоумышленникам найти недостатки в уязвимых системах. Поэтому SCOPY предоставляет информацию только об исправлениях безопасности, а не об уязвимостях.

PySecDB доступна для некоммерческого исследования или личного использования по запросу в лаборатории безопасности Sun в George Mason University.