Open Source проекты изобилуют уязвимостями

отметили
31
человек
в архиве
Open Source проекты изобилуют уязвимостями

Исследование, которое провели специалисты платформы WhiteSource, показало, что количество найденных уязвимостей в приложениях с открытым исходным кодом увеличилось в прошлом году на 50 %. При этом более 55 % зарегистрированных в 2019 году уязвимостей получили статус «критических» или «высокого уровня опасности».

Что касается количества, то число раскрытых уязвимостей в ПО с открытым исходным кодом в 2019 году превысило 6000. Эти данные были получены при анализе отчётов об уязвимости из базы WhiteSource, Национальной американской базы данных уязвимостей (National Vulnerabilities Database — NVD) и ряда других источников.

Выяснилось, что зачастую перечень ошибок и уязвимостей разрознен, информация о проблемах раскидана на сотнях ресурсов, что сказывается на качестве индексирования и часто затрудняет поиск конкретных данных.

По данным WhiteSource, одним из положительных моментов в отчетности по безопасности является встроенный в GitHub механизм раскрытия данных об уязвимостях. Это позволяет получать более точные данные о проблемах.

Самое интересное, что приложения на языке Си, который чаще всего используется в проектах с открытым исходным кодом, имеет наибольшее количество уязвимостей. Доля «проблемных» проектов на Си выросла с 30 % в 2018 до 47 % в 2019-м. Также выросла доля найденных брешей и в PHP-коде — с 15 % до 23 %. А вот в приложениях на Python уязвимостей мало — на их долю приходится всего 6 %.

Добавил X86 X86 15 Марта 2020
проблема (3)
Комментарии участников:
sant
-1
sant, 15 Марта 2020 , url

 Доля «проблемных» проектов на Си выросла с 30 % в 2018 до 47 % в 2019-м. Также выросла доля найденных брешей и в PHP-коде — с 15 % до 23 %. А вот в приложениях на Python уязвимостей мало — на их долю приходится всего 6 %.

А сколько пишут на Си, php и Питоне в процентах?

byguy
+1
byguy, 15 Марта 2020 , url

А сколько пишут на Си, php и Питоне в процентах?

 пхп более популярен чем питон

питон и пхп САМИ написаны на Си

поэтому вот

fakenews
-1
fakenews, 16 Марта 2020 , url

http://pypl.github.io/PYPL.html

https://www.tiobe.com/tiobe-index/

ну-ну. это давно уже не так

byguy
+1
byguy, 16 Марта 2020 , url

Что именно не так?

По первой вашей ссылке измеряется популярность «поиска туториалов на питон». Упрощая — это критерий количества дилетантов пытающихся начать изучать питон.

По второй ссылке опять же измеряется в основном популярность по количеству онлайн-курсов по языку и в целом по статистике поиска в гугле/яндексе.

И то и другое в лучшем случае показывают вокруг какого языка сейчас хайп среди не знающих его, но никак не на каком языке делаются проекты.

fakenews
-1
fakenews, 16 Марта 2020 , url

На питоне все уже. Пхп все ниже и ниже опускается. По всем рейтингам так и проектам на гитхабе.

madnight.github.io/githut/#/pull_requests/2019/4 вот еще

Пхп много лет уже как легаси параша. 

byguy
0
byguy, 16 Марта 2020 , url

И опять пальцем в небо.

Вы даете ссылку на статистику по количеству проектов на гитхабе. Знаете как они возникают? Какой-нибудь ньюб ищет в гугле питон (в статистику выше попадает), потом клепает свой ньюбский велосипед на гитхабе (очередной велосипед) и вот количество проектов на питоне пошло в рост.

Количество же сайтов на пхп больше чем на питоне на порядок.

Пхп начал умирать на версии 4, версия 5 его чутка оживила, но 7-ка вернула ему позиции и дала огромную фору. Если у вас легаси проект — переходите на 7-ку, а не нойте по поводу легаси.

fakenews
-1
fakenews, 16 Марта 2020 , url

Там по коммитам статистика. Да уже по всем параметрам пхп не в топе

abyss
+1
abyss, 15 Марта 2020 , url

Зато винда это образец невзламываемости))) 

X86
0
X86, 15 Марта 2020 , url

3dnews.ru/1005678

В Windows меньше уязвимостей, чем в Debian Linux

Согласно данным, Debian Linux имел наибольшее количество уязвимостей среди всех ОС в течение 1999-2019 годов. За этот период было зарегистрировано 3067 уязвимостей в Debian Linux и 2007 уязвимостей в Ubuntu. С другой стороны, у Windows 7 было 1283 уязвимостей, и 1111 уязвимостей были обнаружены в Windows 10.

nanosecond
+1
nanosecond, 16 Марта 2020 , url

Самое интересное, что приложения на языке Си, который чаще всего используется в проектах с открытым исходным кодом, имеет наибольшее количество уязвимостей.

Может, я чего не догоняю. Но не Си ли из перечисленных инструментов даёт наибольшую свободу для творчества, в т.ч. и для создания уязвимостей? А тогда что же в этом самого интересного — вполне предсказуемо. Опасной бритвой завсегда легче порезаться, чем электрической. 

P.S. Или это попытка изменения общественного мнения по поводу идеи запрещения/особого контроля языков низкого уровня из состояния «немыслимо»  в состояние «радикально», «разумно» и т.д?

tooZ
+1
tooZ, 16 Марта 2020 , url

В открытых продуктах легче искать косяки, т.к. исходный код доступен.



Войдите или станьте участником, чтобы комментировать