The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"GitHub добавил средства информирования об уязвимостях в репо..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub добавил средства информирования об уязвимостях в репо..."  +/
Сообщение от opennews (??) on 17-Ноя-17, 13:16 
GitHub реализовал (https://github.com/blog/2470-introducing-security-alerts-on-...) отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта (https://snyk.io/stateofossecurity/) о состоянии безопасности открытого кода, составленном с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаях выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек  выявленные уязвимости так и не были устранены. Только в  16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.


URL: https://github.com/blog/2470-introducing-security-alerts-on-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47586

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "GitHub добавил средства информирования об уязвимостях в репо..."  +7 +/
Сообщение от Аноним (??) on 17-Ноя-17, 13:16 
npm такая помойка ,что решать его проблемы приходиться на абсолютно посторонних площадках! Вспомнить кпримеру разнообразные проблемы с безопасностью , например leftpad когда полсайтов отвалилась
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GitHub добавил средства информирования об уязвимостях в репо..."  +2 +/
Сообщение от Аноним (??) on 17-Ноя-17, 13:38 
а гемзы это какая помойка? а пупи? а мавен?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GitHub добавил средства информирования об уязвимостях в репо..."  +5 +/
Сообщение от Борщдрайвен бигдата on 17-Ноя-17, 13:44 
MVN не помойка, а палеонтологический музей.
Конечно, риск получить упавший костью динозавра по лбу есть, но там поспокойней.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "GitHub добавил средства информирования об уязвимостях в репо..."  +5 +/
Сообщение от бедный буратино (ok) on 17-Ноя-17, 16:29 
Осталось ещё давать ссылку на то, как заюзать уязвимость, и на каких сайтах её можно встретить - тогда сервис будет полным.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "GitHub добавил средства информирования об уязвимостях в репо..."  +/
Сообщение от Аноним (??) on 17-Ноя-17, 23:46 
а для питона и пыхи как не было, так и нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "GitHub добавил средства информирования об уязвимостях в репо..."  +/
Сообщение от qsdg (ok) on 18-Ноя-17, 05:08 
А для жавы почему нет? Всё таки в топ-5 языков давно, причём по всем направлениям (web, desktop, devops, data science).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру
Hosting by Ihor