URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 112781
[ Назад ]
Исходное сообщение
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено opennews , 17-Ноя-17 13:16 
GitHub реализовал (https://github.com/blog/2470-introducing-security-alerts-on-...) отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта (https://snyk.io/stateofossecurity/) о состоянии безопасности открытого кода, составленном с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаях выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек  выявленные уязвимости так и не были устранены. Только в  16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.


URL: https://github.com/blog/2470-introducing-security-alerts-on-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47586

Содержание
Сообщения в этом обсуждении
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено Аноним , 17-Ноя-17 13:16 
npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено Аноним , 17-Ноя-17 13:38 
а гемзы это какая помойка? а пупи? а мавен?
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено Борщдрайвен бигдата , 17-Ноя-17 13:44 
MVN не помойка, а палеонтологический музей.
Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено бедный буратино , 17-Ноя-17 16:29 
Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено Аноним , 17-Ноя-17 23:46 
а для питона и пыхи как не было, так и нет.
"GitHub добавил средства информирования об уязвимостях в репо..."
Отправлено qsdg , 18-Ноя-17 05:08 
А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).