09.01.2025  Новости, Безопасность

Эксперты проанализировали библиотеки с открыты кодом, написанные на разных языках программирования и выяснили любопытную деталь — самой уязвимой оказалась экосистема PyPI (язык Python). Каждая вторая из популярных библиотек (51% по нашим наблюдениями) содержала уязвимость в какой-либо из своих версий. Уязвимости, обнаруженные исследованием, позволяют злоумышленникам осуществлять перехват данных при выполнении HTTP-запросов, ослабить криптографическую защиту и выполнять произвольный код. Для сравнения, известных open source компонентов в языке Java в 25 раз больше, чем в Python, но самые популярные пакеты оказались менее уязвимы — только в 22% случаев. Например, уязвимости в Spring Framework позволяют злоумышленникам обходить аутентификацию, выполнять SQL-инъекции или получать доступ к конфиденциальной информации. Уязвимость Log4Shell до сих пор остаётся одной из самых значимых угроз для приложений, так как позволяет злоумышленнику отправить специальным образом сформированный запрос, который приведет к выполнению вредоносного кода на стороне приложения. «Результаты исследования за 2024 год показывают, что даже самые популярные open source компоненты могут содержать критические уязвимости. Это подчёркивает важность регулярного обновления библиотек, проведения аудита безопасности и использования инструментов для управления зависимостями. Разработчикам и компаниям следует уделять особое внимание мониторингу безопасности используемых компонентов, чтобы минимизировать риски для ... читать далее.