Hlavní navigace

Stav bezpečnosti open source podle GitHubu

Sdílet

Jan Fikar 4. 12. 2020
GitHub

GitHub zveřejnil svoji zprávu za rok 2020 State of The Octoverse. V části věnované bezpečnosti je zajímavý počet bezpečnostních zranitelností, které jsou v kódu úmyslně.

Analýza náhodného vzorku 521 bezpečnostních varování v 6 ekosystémech (Composer, Maven, npm, NuGet, PyPI a RubyGems) je 17 % spojeno s úmyslným umístěním například zadních vrátek. Z těchto 17 % je velká většina v npm. Naštěstí tyto zranitelnosti jsou v málo používaných balíčcích. Většina, tedy 83 %, bezpečnostních problémů jsou tedy jen neúmyslné chyby.  Přitom aktivní repozitář má 59 % šanci, že se do roka v něm najde bezpečnostní chyba.

(zdroj: lwn)

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 4. 12. 2020 21:05

    Mlocik97

    No JavaScript má veľa zavirenych knižníc, ale pri tom počte všetkých javascriptovych knižníc je to jasné... v npm by sa ale mali viac snažiť kontrolovať knižnice na malware. Je ale zaujímavé že aj veľmi populárny python má minimum škodných...

  • 7. 12. 2020 13:24

    ...

    hlavně npm bezpečnost docela slušně ignoruje, JS vývojáři se rekrutují s začátečníků a jejich návyky nejsou dobré. U pythonu bych viděl problém v tom, že hromada balíčků prostě nejsou na githubu a na pipu pak leží jako whl.

  • 8. 12. 2020 7:45

    bez přezdívky

    Skor je to kulturou JS vyvojarov a nulovymi bezpecnostnimi prvkami v NPM. Raz na to doplatime vsetci.