В 2019 году было выявлено в общей сложности более 6 тысяч уязвимостей в open source-продуктах (в 2018-м их было всего 4 тысячи).
Эти цифры приводят специалисты из компании WhiteSource в своем ежегодном отчете об уязвимостях. Предположительно ситуация связана с широким распространением компонентов с открытым исходным кодом и общим развитием опенсорсного сообщества в последние годы, а также вниманием СМИ.
Информация о 85% уязвимостях раскрывалась публике уже после выпуска необходимого исправления.
Проекты, написанные на языке C, содержали наибольший процент уязвимостей (30%), далее следуют PHP (27%), Java (15%), JavaScript (10%), C# (9%), Python (5%) и Ruby (4%).
Наиболее распространенными в 2019 году классами уязвимостей оказались: CWE-79 (межсайтовое выполнение сценариев), CWE-20 (некорректная проверка входных данных), CWE-119 (выполнение операций за пределами буфера памяти), CWE-125 (чтение за пределами буфера) и CWE-200 (раскрытие информации).
В январе в Минэкономики предложили создать аналог GitHub — хранилища открытого кода — за 2,1 миллиарда рублей. Необходимость создания такого продукта объяснили наличием рисков отключения России от зарубежных хранилищ кода.
На самом деле, по-видимому, сумму нужно умножать на пять: в проекте указано, что аналог GitHub может появиться к 2021 году, а к 2024 году таких репозиториев должно стать пять. В российский аналог гитхаба планируют копировать (!!!) наиболее востребованные программы из зарубежных открытых источников. Как построенное на постоянном обновлении ПО будет обновляться, не уточняется.
Новостей об этой идее с января не было.
Читайте также на АКБ:
Фатальный баг WhatsApp оказался актуален еще для 3500 приложений