28.11.2017 Новости, Безопасность, Открытый код/LinuxХорошей мыслью может быть сканирование ваших приложений с целью обнаружения уязвимых библиотек с открытым исходным кодом, чтобы не стать новым Equifax. На прошлой неделе сайт GitHub запустил новый сервис, чтобы помочь разработчикам выявить и исправить уязвимые зависимости в проектах, помещенных в репозиторий кода. Этот сервис может стать крупным усовершенствованием для разработчиков, которые по различным причинам не знают об известных ошибках в популярных библиотеках для приложений на Ruby, JavaScript и Java. Недавний взлом компании Equifax, затронувший 145 млн. потребителей в США и несколько сотен тысяч в Великобритании, стал ярким примером того, что может случиться, если вы не сумеете выявить и устранить дефект в открытом ПО. В случае с Equifax это была Apache Struts, популярная библиотека Java. Хотя руководителей Equifax и ее специалистов по безопасности пригвоздили к позорному столбу из-за недостатков системы защиты, упущения этой компании далеко не уникальны, когда речь идет об устаревших библиотеках с открытым кодом, таящихся в ключевых бизнес-приложениях. После обнародования взлома Equifax в сентябре находящийся в Великобритании оператор базы данных уязвимостей в открытом коде Snyk просканировал 1 тыс. размещенных на GitHub проектов Open Source и обнаружил, что 64% все еще имеют серьезный изъян, который можно использовать дистанционно и для которого фонд Apache Foundation в марте выпустил исправления. Это один из тех двух дефектов, которые, вероятно, использовались ...
читать далее.
