Новости: GitLab обнаружила множество уязвимостей в проектах своих клиентов
15.10.2020

GitLab обнаружила множество уязвимостей в проектах своих клиентов

GitLab обнаружила множество уязвимостей в проектах своих клиентов GitLab обнаружила множество уязвимостей в проектах своих клиентов

Эксперты сервиса GitLab выпустили свою оценку ИБ-трендов с акцентом на актуальные уязвимости. Отчет включает анализ на уязвимости тысяч проектов, использующих их хостинг, и рекомендации по подходам для повышения защищенности. 

Эксперты отметили следующие тренды:
1.       Ощутимо вырос процент проектов, имеющих проблемы с зависимыми библиотеками: с 26% на 69% – Рис. 1.

Рисунок1.png

Рис. 1 – процент проектов с уязвимыми зависимостями

2.       Значительно выросла частота проявления уязвимости отсутствия валидации ввода, которая позволяет выполнить инъекции и другие вредоносные действия – Рис.2.

Рисуонк2.jpg

Рис. 2 – Актуальные на август 2020 наиболее частые уязвимости

3.       Значительно выросло количество используемых пользователями библиотек, где обнаруживаются уязвимости – Рис. 3.

Рисунок3.jpg

Рис. 3 – зависимые библиотеки с уязвимостями

4.       Снизился процент проектов с контейнерами, имеющими уязвимости – с 52% до 41% – Рис. 4

Рисунок4.png

Рис. 4 – снижение процента проектов с уязвимыми контейнерами

5.       И самое интересное, что среди лидеров по году выхода уязвимости находится не 2020 год, а 2019 год, также не отстает 2018 год. Это означает, что отставание по устранению уязвимостей в среднем более года! – Рис. 5.

Рисунок5.png

Рис. 5 – Год обнаружения уязвимости и процент нахождения ее в проектах

По мнению компании Forrester, платформа Gitlab является одним из десяти лучших сервисов Software Composition Analyzers (SCA) для мониторинга и определения потенциальных рисков компонент Open Source, что указано в исследовании рынка “The Forrester Wave Software Composition Analyzers 2019”. 

Эксперты группы компаний Angara рекомендуют:

  • Чаще обращаться к анализу на Gitlab Security Dashboard.

  • Проверять и регулярно обновлять существующие зависимые пакеты.

  • Применять сканирование уязвимостей и сканирование исходного кода, как статическое, так и динамическое, с подходящей ИБ-компромиссной разработчикам регулярностью.

  • Надежно хранить пароли, сертификаты и другие ключи, используемые командой разработчиков.

  • Отслеживать новостные ленты и экспертные ресурсы на техники злоумышленников и опасные уязвимости и проверять свои продукты на подверженность им.


Другие новости

Присоединиться к #AngaraTeam!