Представники Sonatype під час віртуальної події All-Day DevOps (ADD) поділилися результатами звіту, згідно з яким кількість шкідливих пакетів із відкритим кодом зросла на 156% порівняно з минулим роком, досягнувши понад 512 847. Про це повідомляє DevOps.com.
У звіті зазначається, що у 95% випадків, коли розробники застосунків використовують вразливі компоненти, виправлена версія вже існує.
За словами головного технічного директора Sonatype Браяна Фокса, десятий щорічний звіт про стан ланцюга поставок програмного забезпечення чітко показує, що, незважаючи на неодноразові попередження, залишається значна кількість порушень безпеки. Незважаючи на те, що доступна оновлена версія майже кожного вразливого пакету, 80% залежностей програм не усуваються більш ніж рік.
Крім того, у звіті зазначається, що багато критичних вразливостей, які необхідно усунути, стає все складніше подолати. У деяких випадках для усунення критичних вразливостей, виявлених цього року, знадобилося понад 500 днів.
Тим часом споживання програмного забезпечення з відкритим кодом лише продовжує зростати. Аналіз Sonatype даних, зібраних із понад 7 мільйонів проєктів з відкритим кодом, показує, що за минулий рік було завантажено приблизно 6,6 трильйона цих пакетів.
Зокрема, споживання Python (PyPI) збільшилося на 80%, досягнувши понад 530 трильйонів запитів пакетів, тоді як завантаження JavaScript (npm) зросли на 70%, досягнувши 4,5 трильйонів запитів пакетів.
Однак, з іншого боку, звіт підтверджує, що проєкти з відкритим кодом, які оплачують супроводжувачів, мають майже втричі більшу ймовірність комплексної політики безпеки. Крім того, компоненти із платною підтримкою усувають вразливості на 45% швидше.
Водночас організаціям необхідно ввести в дію список матеріалів програмного забезпечення (SBOM), щоб було простіше виявити, де насправді запускаються пакети, коли виявляється нова вразливість, зазначив Фокс.
Крім того, багато організацій все ще шукають приклади відомих вразливостей, таких як Log4j, де 13% завантажень залишаються вразливими через 3 роки після першого виявлення вразливості Log4Shell.
Так чи інакше, загальна якість безпеки застосунків покращиться, оскільки правила стануть суворішими. Уряди в усьому світі сигналізують про те, що збираються посилити відповідальність організацій за безпеку програм, які вони розгортають. Завдання полягає в тому, щоб знайти спосіб виконати ці вимоги до того, як посиплються великі штрафи.
Читайте також на ProIT, що опитування виявило розбіжності в управлінні інцидентами між DevOps та ITSM.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
