Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Сайт призывает разработчиков исправлять известные уязвимости.
Администрация GitHubпросканировалапользовательские проекты на предмет известных уязвимостей в библиотеках JavaScript и Ruby. В результате проверки было обнаружено более 4 млн уязвимостей.
Массовый поиск уязвимостейначалсяпосле запуска инициативы в ноябре 2017 года, когда GitHub начал искать известные уязвимости в некоторых популярных библиотеках с открытым исходным кодом и уведомлять владельцев проектов о том, что они должны использовать обновленную версию.
Сканер автоматически проверяет публичные репозитории GitHub на предмет известных уязвимых библиотек в RubyGems для Ruby и npm для JavaScript, однако он пока не охватывает все возможные уязвимые библиотеки.
В 2018 году GitHub планирует расширить функционал своего сканера, позволив ему искать уязвимости в зависимостях Python.
Опасность уязвимостей в программном обеспечении с открытым исходным кодом была нагляднопродемонстрированаво время утечки данных бюро кредитных историй Equifax, затронувшей 100 млн пользователей.
По словам представителей GitHub, им удалось обнаружить порядка 4 млн уязвимостей в более чем 500 тыс. репозиториев. Администрация сервиса направила соответствующие уведомления каждому из разработчиков проектов.
GitHub проверяет публичные репозитории каждый раз, когда получает уведомление о недавно обнаруженных уязвимостях в зависимостях.
Согласно данным сайта, около 30% уязвимостей исправляются через семь дней после отправки GitHub предупреждения безопасности. Еще 15% предупреждений игнорируются, а остальные 55% предупреждений относятся к уязвимостям в заброшенных репозиториях.