В ПОЛЬЗОВАТЕЛЬСКИХ ПРОЕКТАХ НА GITHUB ОБНАРУЖЕНО 4 МЛН УЯЗВИМОСТЕЙ
В ПОЛЬЗОВАТЕЛЬСКИХ ПРОЕКТАХ НА GITHUB ОБНАРУЖЕНО 4 МЛН УЯЗВИМОСТЕЙ
Сайт призывает разработчиков исправлять известные уязвимости.
Администрация GitHub просканировала пользовательские проекты на предмет известных уязвимостей в библиотеках JavaScript и Ruby. В результате проверки было обнаружено более 4 млн уязвимостей.
Массовый поиск уязвимостей начался после запуска инициативы в ноябре 2017 года, когда GitHub начал искать известные уязвимости в некоторых популярных библиотеках с открытым исходным кодом и уведомлять владельцев проектов о том, что они должны использовать обновленную версию.
Сканер автоматически проверяет публичные репозитории GitHub на предмет известных уязвимых библиотек в RubyGems для Ruby и npm для JavaScript, однако он пока не охватывает все возможные уязвимые библиотеки.
В 2018 году GitHub планирует расширить функционал своего сканера, позволив ему искать уязвимости в зависимостях Python.
Опасность уязвимостей в программном обеспечении с открытым исходным кодом была наглядно продемонстрирована во время утечки данных бюро кредитных историй Equifax, затронувшей 100 млн пользователей.
По словам представителей GitHub, им удалось обнаружить порядка 4 млн уязвимостей в более чем 500 тыс. репозиториев. Администрация сервиса направила соответствующие уведомления каждому из разработчиков проектов.
GitHub проверяет публичные репозитории каждый раз, когда получает уведомление о недавно обнаруженных уязвимостях в зависимостях.
Согласно данным сайта, около 30% уязвимостей исправляются через семь дней после отправки GitHub предупреждения безопасности. Еще 15% предупреждений игнорируются, а остальные 55% предупреждений относятся к уязвимостям в заброшенных репозиториях.