Jenkins и MySQL оказались самыми уязвимыми проектами с открытым исходным кодом за последние пять лет.
Специалисты из компании RiskSense проанализировали 54 проекта с открытым исходным кодом и сообщили, что количество уязвимостей в данных инструментах удвоились в 2019 году — с 421 проблемы в 2018 году до 968 в прошлом году.
Как сообщается в отчете «The Dark Reality of Open Source», эксперты обнаружили в общей сложности 2694 уязвимости в популярных проектах с открытым исходным кодом в период с 2015 года по март 2020 года. В отчет не вошли такие популярные платформы, как Linux, WordPress, Drupal, поскольку они постоянно проверяются, а исправления для уязвимостей выпускаются достаточно быстро.
Эксперты из RiskSense рассмотрели другие популярные проекты с открытым исходным кодом, которые не так хорошо известны, но используются сообществом разработчиков программного обеспечения. Это включало такие продукты, как Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark, Puppet и пр.
Одна из основных проблем заключалась в том, что большое количество уязвимостей были переданы в Национальную базу данных уязвимостей США (National Vulnerability Database, NVD) спустя много недель после их обнародования. В среднем уходит около 54 дней на уведомление об обнаруженной уязвимости в проанализированных проектах. Например, сообщения об уязвимостях в PostgreSQL передаются в NVD спустя восемь месяцев.
По словам специалистов, среди всех 54 проанализированных проектов сервер автоматизации Jenkins и сервер баз данных MySQL содержали самые опасные уязвимости с 2015 года.
Напомним, ранее специалисты из компании Veracode проанализировали 351 тыс. внешних библиотек в 85 тыс. приложений и отметили высокую распространенность библиотек с открытым исходным кодом. Например, большинство JavaScript-приложений содержат сотни библиотек с открытым исходным кодом, а некоторые — более 1 тыс. 70% настольных и мобильных приложений содержат как минимум одну уязвимость, связанную с использованием библиотеки с открытым исходным кодом.