С помощью инструмента AppSec.Track эксперты AppSec Solutions провели анализ open source компонентов, которые использовали российские разработчики в 2024 г. Эксперты проанализировали библиотеки с открыты кодом, написанные на разных языках программирования и выяснили любопытную деталь – самой уязвимой оказалась экосистема PyPI (язык Python). Каждая вторая из популярных библиотек (51% по наблюдениями AppSec Solutions) содержала уязвимость в какой-либо из своих версий. Уязвимости, обнаруженные исследованием, позволяют злоумышленникам осуществлять перехват данных при выполнении HTTP-запросов, ослабить криптографическую защиту и выполнять произвольный код. Об этом CNews сообщили представители AppSec Solutions.
Для сравнения, известных open source компонентов в языке Java в 25 раз больше, чем в Python, но самые популярные пакеты оказались менее уязвимы — только в 22% случаев. Например, уязвимости в Spring Framework позволяют злоумышленникам обходить аутентификацию, выполнять SQL-инъекции или получать доступ к конфиденциальной информации. Уязвимость Log4Shell до сих пор остается одной из самых значимых угроз для приложений, так как позволяет злоумышленнику отправить специальным образом сформированный запрос, который приведет к выполнению вредоносного кода на стороне приложения.
«Результаты исследования за 2024 г. показывают, что даже самые популярные open source компоненты могут содержать критические уязвимости. Это подчеркивает важность регулярного обновления библиотек, проведения аудита безопасности и использования инструментов для управления зависимостями. Разработчикам и компаниям следует уделять особое внимание мониторингу безопасности используемых компонентов, чтобы минимизировать риски для своих систем и данных», - сказал Константин Крюков, директор продукта AppSec.Track компании AppSec Solutions.
Защитить российских разработчиков могут инструменты, предотвращающие атаки на цепочку поставок ПО.
Поделиться