В 2014 г. производители ПО загрузили 240,757 тыс. программных компонентов из одного из крупнейших публичных хранилищ. Многие производители ПО выпускают приложения со слабой защитой безопасности, что связано с часто бесконтрольным использованием компонентов с открытым исходным кодом. Большинство разработчиков из-за плохого учета даже не смогут сказать в каких именно приложениях присутствуют данные компоненты, сообщает издание Network World со ссылкой на отчет компании Sonatype.
В 2014 г. крупные финансовые компании и производители ПО загрузили 240,757 тыс. компонентов из одного из крупнейших публичных хранилищ с элементами Java с открытым исходным кодом. Более 15 тыс. или 7,5% содержали опасные уязвимости, сообщает оператор хранилища компания Sonatype.
Sonatype занимается размещением компонентов в хранилище, которое известно как Центральное Хранилище (Central Repository), однако компания не проверяет, что именно загружается и выгружается из ЦХ. Ответственность за качество продукции лежит на самих разработчиках. Центральное Хранилище является хранилищем по умолчанию для Apache Maven, SBT и других Java-инструментов конфигурации ПО.
29 крупнейших финансовых и технологических компаний в среднем используют 27 различных версий каждого компонента, это означает, что большинство предприятий в разработках своих приложений обращаются к устаревшим, менее функциональным и потенциально уязвимым версиям, сообщает Sonatype.
В целом в 2014 г. Центральным Хранилищем пользовалось 100 тыс. компаний, в среднем в прошлом году было совершено около 17,2 млрд. загрузок. В ЦК хранятся 217 тыс. компонентов и 830 тыс. их различных версий. С помощью компонентов из ЦХ было разработано более 1,5 тыс. приложений, каждое из которых содержит в среднем 24 опасных или критических уязвимости. (Новости/NovostIT)
