В публичных репозиториях пользователей GitHub обнаружено 4 миллиона уязвимостей
Новости
GitHub провела массовую проверку безопасности проектов, включающих библиотеки JavaScript и Ruby. Более 500 тысяч репозиториев оказались подвержены найденным уязвимостям.
2К открытий2К показов
Администрация веб-хостинга GitHub провела массовую проверку безопасности среди проектов, включающих библиотеки JavaScript и Ruby. В результате сканирования было найдено более 4 миллионов уязвимостей, связанных с использованием устаревших зависимостей в 500 тысячах репозиториев.
Как это работает?
Массовый поиск багов начался в ноябре 2017 года, когда GitHub провела первые сканирования популярных open source библиотек на предмет известных уязвимостей. Публичные репозитории проверяются автоматически, при обнаружении ошибок их администраторам отправляется уведомление об опасности. Пока сканирование проводится только в самых популярных библиотеках RubyGems для Ruby и npm для JavaScript. Однако в 2018 году компания планирует проанализировать на наличие уязвимостей в зависимостях открытые проекты на Python. Такие проверки GitHub совершает каждый раз, когда получает уведомление о недавно объявленных брешах в безопасности.
Сколько уязвимостей осталось?
Как утверждают представители GitHub, к 1 декабря разработчики избавились от 450 тысяч уязвимостей путем их удаления или обновления библиотек до безопасной версии. На момент написания материала остается еще более 3 миллионов нерешенных проблем безопасности.
По данным компании, 30 % уязвимостей устраняются в течение первых семи дней, 15 % игнорируются, а оставшиеся 55 % остаются не исправленными в течение 90 дней после отправки уведомления.
Таким образом, GitHub продолжает заботиться о безопасности репозиториев пользователей. Напомним, что в начале февраля 2018 года компания отказалась от устаревших криптографических стандартов шифрования.
2К открытий2К показов